Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация информационных систем - Форум по вопросам информационной безопасности

Аттестация информационных систем - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: oko | 69433 07.03.2017 14:11
imho, не стал бы класть под обязательную аттестацию все и вся. Ограничился бы следующим разделением:
1) внутренние ИС, в которых циркулирует ИОД-не-ГТ, - обязательно защищать, но по отдельному классу ГИС (более низкому, возможно, без обязательного применения СЗИ) и без обязательной аттестации;
2) внутренние ИС, в которых циркулируют ПДн - обязательно защищать по 21 Приказу, включая полный анализ разбора ситуации с необходимостью или отсутствие необходимости в применении сертифицированных СЗИ;
3) внешние (доступные не только для сотрудников гос.органа) ИС, в которых циркулирует ИОД-не-ГТ, - обязательно защищать и аттестовать в полном соответствии с 17 Приказом;
3) внешние (доступные не только для сотрудников гос.органа) ИС, в которых циркулируют ПДн, - обязательно защищать и аттестовать в полном соответствии с 21 Приказом (да-да, и аттестация обязательна, и применение сертифицированных СЗИ обязательно).
Это все потребует не таких уж баснословных затрат как с позиции разработки (изменения) НМД, так и с позиции конечных объектов. Все-таки основной "энергозатратный" элемент - это внешние системы, которых в гос.органах не так уж много (и они не такие уж глобальные), если судить по всей стране...
Главное - это добить-таки Методику УБИ для ИС (любых) и решить вопрос с НДВ (которые по ПП 1119). В противном случае, маразм будет только крепчать...

Автор: Dfg | 69448 08.03.2017 10:57
--Oko
Наиболее бредовая идея с исключением 4 класса защищенности...---

Просто делают схемы выбора СЗИ прозрачными.
3 класса систем и три соответствующих класса СЗИ.

Автор: oko | 69453 08.03.2017 20:58
to Dfg
А у нас вообще существуют добротные СЗИ, сертифицированные по 6 классу и не имеющие "старших братьев" с сертификатом под более высокие классы? :)
Главный косяк - это разрешение применения СЗИ, сертифицированных по ТУ. Тоже огромное "окно" для применения всяческих "поделий" (камешек в огород Панциря, ага)... Пусть и сделанное в угоду хорошим продуктам, не вписывающимся пока в существующие профили сертификации...
Прошла пара месяцев

Автор: witomin, ГАУ ТО "ЦИТ" г. Тула | 71545 27.04.2017 14:36
Коллеги, добрый день!
У меня вопрос по применению СЗИ для ГИС 2 класса. В 17 приказе есть фраза: "В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие поверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей."
В сертификатах на СЗИ по профилям защиты не пишется о прохождении проверки на НДВ, в методических документах о профилях защиты также нет требований на контроль НДВ.
Есть в природе вообще СЗИ, сертифицированные по профилям защиты и имеющие 4-й уровень контроля НДВ? Спасибо.

Автор: WORM, MK | 71551 27.04.2017 15:26
2 witomin,
Дело в том, что в сами профили защиты уже включены требования контроля НДВ по соответствующему уровню. И в сертификатах сейчас не пишут про контроль НДВ.
Если у вас, скажем, антивир 4-го класса, это означает, что он соответствует 4 НДВ, если 2-го - то 2 НДВ и т.д. Аналогично с другими продуктами, сертифицированными по ПЗ.
Кое-где бывает, что даже 5 класс соответствует 4 НДВ, но это уже профиль надо читать, а это скучно. В 6-м классе НДВ нет.

Страницы: < 1 2

Просмотров темы: 8173

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*