Автор: Александр | 78645 | 09.10.2017 08:33 |
Коллеги, вопрос простой: в каком документе приводится описание классов СЗИ?
В Приказе № 17 есть предложения: >>>26. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При этом: -в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса; -в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса; -в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса. Посмотрел 3 РД ФСТЭК, ни в одном не нашёл классов СЗИ. Смотрел эти РД: - РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" - РД "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" - РД. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации". |
Автор: oko | 78662 | 09.10.2017 09:42 |
По-моему, мы с вами это уже обсуждали в другой ветке форума (могу ошибаться)...
Профили защиты же. Это новый (относительно) подход ФСТЭК к сертификации. Не по старым РД... Плохо искали: |
Автор: 12345 | 78663 | 09.10.2017 09:45 |
РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации"
|
Автор: Александр | 78721 | 09.10.2017 10:56 |
oko, 12345, спасибо за ответы, но видимо всё-таки классы СЗИ прописаны в РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", а не в профилях защиты или РД АС.
Сужу об этом по содержанию сертификатов ФСТЭК, например, на "Панцирь-К", "Dallas Lock 8.0-C". В сертификатах указывают РД, на соответствие которым сертфицируется СЗИ. |
Автор: malotavr | 78794 | 09.10.2017 12:44 |
> oko, 12345, спасибо за ответы, но видимо всё-таки классы СЗИ прописаны в РД
Все-таки нет. Ну вы сами подумайте, как вы будете применять РД СВТ к антивирусам, МЭ и т.п.? Если для данного вида средств защиты есть профили защиты, они сертифицируютя на эти профили. В этом случае класс СЗИ определяется профилем защиты, на соответствие которому проводилась сертификация. Если для данного вида СЗИ были старые РД (как в случае с РД МЭ), ФСТЭК выпускает информационное сообщение, что теперь нужно руководствоваться требованиями профилей защиты. РД СВТ применяется только к некоторым СЗИ, которые изначально написаны для того. чтобы выполнять требования РД СВТ и для которых нет профилей защиты. Например, операционную систему, даже если она соответствует требованиям РД СВТ, вы тем не менее обязаны сертифицировать на соответствие профилю защиты на ОС, и класс защиты будет определяться профилем. |
Автор: oko | 78809 | 09.10.2017 12:55 |
to malotavr
+1 |
Автор: Александр | 78816 | 09.10.2017 13:53 |
malotavr, спасибо за разъяснение.
oko, извините, что усомнился в Вашем ответе. |
Автор: sekira | 78817 | 09.10.2017 14:13 |
Остается только открытый вопрос про классы (и профили) к СЗИ НСД.
|
Автор: oko | 78818 | 09.10.2017 14:33 |
to sekira
Думается мне, что останется по классу СВТ. Поправьте, если ошибаюсь, но до сих пор неразбериха: действующая АС + навесные СЗИ_НСД = АСЗИ (защищенные СВТ, ага)? Плюс, слишком много уже сертифицированных и рабочих СЗИ НСД (много больше, чем те же АВЗ, МЭ, СОВ и проч.) Поэтому не осмысленно получается... to Александр У меня было стойкое чувство дежа вю, поэтому не стал полностью объяснять (спасибо, тов. malotavr). Вообще, по первой в этом деле сам черт ногу сломит. Давно пора все (вообще все) РД к чертям отменить, но альтернативная нормативка, мягко говоря, пока не очень... |
Автор: sekira | 78819 | 09.10.2017 15:23 |
"Поправьте, если ошибаюсь"
классы СВТ не соотносятся с требованиями 17 приказа. В информационных системах применяются средства защиты информации, сертифицированные на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России, или на соответствие требованиям, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований (17 приказ). СВТ мало надо фразы про классы ГИС в сертификате. Раньше было НДВ для 1-2 классов и это фразы не было. |
Просмотров темы: 23434