Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Аттестация объекта информатизации - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Аттестация объекта информатизации

К списку тем | Добавить сообщение


Страницы: [181-200] < 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 > [221-233]

Автор: oko | 66761 09.11.2016 20:57
to SKYCEBERG
Было же уже, товарищ, обсуждение сего парадокса: http://www.itsec.ru/forum.php?sub=10567&from=0&format=printer-friendly.
Тут еще стоит добавить цитату из ГОСТ по аттестации, но не будем играться на форуме с ДСП-инфой, ага. Если упрощенно, то и в нем не сказано, что СДЗ в ГТ обязано быть и обязано быть сертифицированным. Только расплывчато, что ДЗ необходимо обеспечивать. imho, считаю это достаточным для обязательности применения СДЗ уровня платы или BIOS в ГТ, если также применяемое программное СЗИ НСД НЕ предоставляет собственный эффективный механизм ДЗ (а такой по моему личному мнению реализован только в СТРАЖ, Даллас "схалявил" со своим "кодированием").
А так, да, будем посмотреть новую версию "настольной книги". Правда, сомневаюсь, что она приоткроет завесу тайны "Откуда есть пошли СДЗ в ГТ?"

Автор: o-lo-lo | 66812 10.11.2016 13:33
В соответствии со фразами, указанными СТР-К. Для обработки информации могут использоваться технические средства, удовлетворяющие установленным требованиям по электромагнитной совместимости. - могут ли такое требование требовать проверяющие? на клавиатуру, колонки, мониторы, коммутаторы

Автор: Евгений | 66815 10.11.2016 15:33
o-lo-lo | 66812
А Вас самих удовлетворит тот факт, что Ваша АС будет давать сильные помехи в эфир и мешать другой технике вокруг нормально функционировать?

Автор: Yerdan, ММЗ | 66817 10.11.2016 16:28
2 oko
На последних сборах представители ФСТЭК очень удивлялись требованиям органов по аттестации иметь СДЗ на компах с ГТ. Мол, они требуются только на компах органов по сертификации продукции. Правдо, как обычно, без обоснований.

Автор: oko | 66819 10.11.2016 18:29
to Yerdan
Ну, их (оных представителей) подход оправдан, если ОС и ИОД находятся на мобильном ЖМД... и настройки BIOS (UEFI) заданы не по дефолту... и внутренний нарушитель не актуален... и нет UEFI, в который из-под ядовитой ОС можно вшить средства перехвата... а так, да, СДЗ в ГТ не нужно :)

Автор: SKYCEBERG | 66979 15.11.2016 07:14
Коллеги, вопрос больше к лицензиатам - по поводу инструкции пользователям при аттестации объектов под ГТ.
Делаете ли Вы ее отдельной или в составе ТП?
Имеет ли она у Вас гриф? Дело в том, что под перечень подогнать можно что угодно. С одной стороны в ней нет ничего такого, что даже ДСП вроде бы лишне, с другой стороны мы же пишем наставления юзверям не обрабатывать выше максимального грифа на объекте, а это уже сведения из акта категорирования...

Автор: Иван | 67030 16.11.2016 08:47
SKYCEBERG, согласно 3-1 обязанность это возложена на исполнителя, поэтому это на совести исполнителя. ДСП может обязать ко многому, например к регистрации и учету движения.

Автор: SKYCEBERG | 67036 17.11.2016 06:07
to Иван: ну я не могу позволить все пустить на самотек. Если мой объект, я стараюсь сделать, чтоб все было прописано, но и понимаю, что люди должны это читать, а иначе бумага просто будет лежать где-то. Один из вариантов, Инструкция - в составе техпаспорта, точно никуда не потеряется, но с листом ознакомления и требованиями ответственного/администратора безопасности в ознакомлении новых лиц.

Кстати, по закону нет определения "Администратор информационной безопасности", есть "Администратор защиты (безопасности)", но согласитесь "Администратор защиты" звучит как-то коряво, а вот "Администратор безопасности" вполне. И звучит нормально, и по ГОСТам.

И еще такой момент - нельзя приказ о границе КЗ с указанием расположения объекта делать открытым, и в то же время без него не обойтись. Не докажешь, почему Rкз именно такое. Наверное, лучше выпускать приказ о КЗ без привязок к объектам открытый - просто обозначение КЗ организации. А схему с привязкой уже делать закрытой, расстояние самому померить. Доказать можно рулеткой, в т.ч. и лазерной. Кто как делает?

Автор: Евгений | 67038 17.11.2016 08:52
SKYCEBERG | 67036
Если посмотреть на типовые формы технических паспортов, то там нигде нет инструкций. Лучше инструкцию делать отдельным документом и конфиденциальной. Если у Вас в организации существует порядок работы с конфиденциальной документами, то думают этого будет достаточно.

По вопросу КЗ, у Вас в организации должен быть общий документ который определяет границу КЗ всей организации. С грифом или без, все зависит от Ваших пунктов передней. А вот схема с привязкой фигурирует в тех. паспорте который естественно с грифом.

Автор: oko | 67039 17.11.2016 10:18
to SKYCEBERG
А зачем инструкциям гриф? Что в них "с буковкой" или с пометкой "ДСП"? Способы смены паролей - в общедоступной документации СЗИ; требования к пароля - в общедоступных РД; обновление и запуск АВЗ - в общедоступной документации на АВЗ; методы активации/деактивации САЗ - в общедоступном описании САЗ; и т.д....
Согласен, бывают исключения (особенно в конторах, где какие-то ... всю информацию по защите информации под гриф занесли еще с 90х гг.). Но для общего случая... В конце концов, есть же золотое правило криптографии - ситуация аналогична, imho...

Страницы: [181-200] < 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 > [221-233]

Просмотров темы: 387929

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.