Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 3 4 5 6 >

Автор: Дмитрий | 59383 28.10.2015 13:20
Имеется учреждение здравоохранения. Оно является частью ГИС "Региональный фрагмент единой государственной информационной системы в сфере здравоохранения"

Пункт 17.3 приказа ФСТЭК №17 гласит:
«Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.
В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.
Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.
Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы.
В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.
Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.»

В связи с этим хочу уточнить пару моментов:
1. Если ГИС имеет аттестацию, то, исходя из вышеуказанного, сегменты (т.е. в том числе учреждения здравоохранения) должны быть так же аттестованы (с сопутствующим пакетом документации). Или по крайней мере один типовой сегмент для дальнейшего унифицированного внедрения во все учреждения здравоохранения, имеющие отношение с ГИС. Правильный ли ход мыслей?
2. Распространяется ли требования 17 приказа на другие ИСПДн находящиеся в учреждении здравоохранения («Кадры», «Бухгалтерия»)? Или они относятся к 21 приказу?

Спасибо.

Автор: Андрей Мозговой | 59385 28.10.2015 15:44
По второму вопросу:
Согласно п.3 и п.6 Приказа, его требования распространяются на ГИС и МИС и могут применяться в других ИС по решению обладателя. информации.
Кадры и бухгалтерию теоретически тоже можно отнести к МИС, хотя и с натяжкой - тогда руководствуйтесь 17 Приказом. Если это у вас ИСПДн - то 21 Приказом, но при желании можете применять 17.
Есть нюанс: выполнение требований 17 Приказа хотя и освобождает от необходимости выполнения требований 21го (при условии соответствия непревышения УЗ ПДн класса ГИС, п.27), но если у Вас обрабатываются ПДн - требования остальных документов в области защиты ПДн выполнять все равно придется (ПП1119, Приказ ФСБ 378 и т.д.).

По первому вопросу:
Если Ваша ИС будет являться сегментом УЖЕ аттестованной ГИС, то следует читать аттестационную документацию ГИС (так как "условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия", и если при аттестации возможность распространения аттестата на сегменты не предусмотрели - то автоматически ничего не распространится до следующей аттестации ГИС).
Если ГИС еще не аттестована - то при аттестации следует определить перечень сегментов (реальных и потенциальных), сгруппировать их по "типовости" (п.17.3 Приказа), при аттестации провести испытания на хотя бы 1 из сегментов каждого типа (в совокупности должен полностью охватываться техпроцесс обработки информации в ГИС) и разработать порядок распространениея аттестата на сегменты, соответствующие "типовым", прописав его в том числе в программе и аттестате. После чего приводим сегмент в соответствие с проверенным при аттестации, подтверждаем это при приемке сегмента и пишем акт распространения аттестата №__ на сегмент такой-то.

Автор: Дмитрий | 59397 29.10.2015 12:31
Андрей Мозговой, благодарю за развернутый ответ.

Согласно п 17.5 ГИС вводится в эксплуатацию только при наличии аттестата соответствия. Сама ГИС "РЕГИЗ" была введена в эксплуатацию в 2011. Соответственно она уже прошла аттестацию.

В наше учреждение здравоохранения недавно приезжали специалисты и проводили анализ контроля защищенности конфиденциальной информации от НСД и ее модификации. Были выданы отчеты с результатами и рекомендациями по устранению уязвимостей. Но это же не является аттестацией.

В связи с этим вопрос - может ли ГИС получить аттестат соответствия без проведения аттестации ее сегментов?

Автор: Андрей Мозговой | 59398 29.10.2015 13:28
Здесь вопрос в определении границы ГИС.
Если рассматривать систему как совокупность "ядра" (ЦОД, сервер с БД, сервер с СПО и т.д.) и набора "клиентов" (Клиентские АРМ, ЛВС, и т.д., разбросанные по территории), то есть варианты:

1. ГИС = только "ядро". В этом случае при аттестации проверяется только оно и в аттестат соответствия, естественно, включается только оно. В этом случае "клиенты" представляют собой отдельные ГИС/МИС и должны иметь отдельные аттестаты, которые и будут необходимым условием подключения к "большой" ГИС (точнее, это будет взаимодействие отдельных аттестованных объектов информатизации). Соответственно, и аттестационные испытания на клиентских ГИС/МИС будут проводиться отдельно, возможно - разными организациями, с разными подходами и т.д.
С моей субъективной точки зрения такой подход не является рациональным, кроме случая, когда Оператору "большой" ГИС нет особого дела до организаций, которые к ней должны подключаться (проблемы индейцев шерифа не волнуют).

2. ГИС = совокупность "ядра" и заранее определенного количества "клиентов", что фиксируется сразу, при этом при аттестации зачастую игнорируется возможность "сегментного" подхода, проводятся испытания на всех объектах, что и фиксируется в аттестационной документации. При этом добавление новых клиентов возможно либо как отдельных ГИС/МИС (как в п.1), либо при "доаттестации" ГИС организацией, выдавшей аттестат ранее, по договоренности.
Подход дорогой, применяется в основном либо для очень статичных систем, либо для очень уж разношерстных, где проблематично выделить типовые сегменты. Ну, еще для систем, где актуален ПЭМИН и иже с ним, или если за ИБ у оператора "большой" ГИС отвечает специалист "старой закалки", который привык ориентироваться на подходы к защите ГТ.

3. ГИС = совокупность "ядра" и набора типовых клиентов, в совокупности реализующих полных ТПОИ. Здесь при аттестации испытания проводятся на ограниченном количестве сегментов + пишутся требования по распространению аттестата на сегменты, соответствующие типовым. В идеале - оперативно проводятся мероприятия по такому распространению для максимального количества таких клиентов, так как иначе до этой процедуры клиенты не смогут подключиться к "большой" ГИС (а в реальности - все равно работают в ней, что является нарушением). Последующие клиенты либо аттестуют свои ГИС/МИС как отдельные ОИ, либо приводят свои системы в соответствие с требованиями к типовым, проводят их приемку, составляют акт соответствия, направляют его Оператору "большой" ГИС и если все хорошо получают акт распространения аттестата "большой" ГИС на свой сегмент.
Как раз в этом случае на большинстве сегментов ГИС, которые уже не будут отдельными ОИ, будет проводиться не аттестация, а оценка соответствия сегмента аттестованному.

Какой у Вас случай и что написано в аттестате "большой" ГИС - не знаю

Автор: Дмитрий | 59399 29.10.2015 13:44
Вас понял. Буду обращаться к обладателю ГИС за разъяснением.
Еще раз большое спасибо!
Прошло несколько месяцев

Автор: Анатолий | 65022 19.08.2016 10:53
Здравствуйте.
Начальство требует утвержденный вид Акта соответствия и Акта распространения аттестата. Есть ли они вообще? Насколько я знаю, таких документов по ГИСам не было сделано и разрабатывать эти документы самим. На что ссылаться, что бы убедить начальство?

Прошло несколько месяцев

Автор: Евгений | 70221 28.03.2017 14:40
Здравствуйте!

Создаем распределенную ГИС, которая состоит из серверного сегмента и клиентского сегмента (совокупность типовых АРМов, объединенных в локальную сеть).

Возможно ли на этапе аттестации заложить в аттестационные документы, чтобы аттестат соответствия распространялся также и на типовые рабочие места (по такому же составу что аттестованные), которые мы будем в будущем добавлять в клиентский сегмент?

Автор: oko | 70222 28.03.2017 15:03
Приветствую!
Можно. Если вновь добавляемые рабочие места ничем не отличаются от существующих. Ни программно-аппаратным составом (с допустимыми отклонениями), ни технологиями подключения к серверному сегменту, ни уязвимостями (которых не должно быть, ага), ни иными параметрами безопасности.

Автор: Евгений | 70228 28.03.2017 15:41
oko, спасибо за информацию.

Автор: Dfg | 70245 29.03.2017 06:18
Кстати новые изменения уже утвердили. Работаем по обновленному 17 приказу .

Страницы: 1 2 3 4 5 6 >

Просмотров темы: 26383

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*