Автор: oko | 69433 | 07.03.2017 14:11 |
imho, не стал бы класть под обязательную аттестацию все и вся. Ограничился бы следующим разделением:
1) внутренние ИС, в которых циркулирует ИОД-не-ГТ, - обязательно защищать, но по отдельному классу ГИС (более низкому, возможно, без обязательного применения СЗИ) и без обязательной аттестации; 2) внутренние ИС, в которых циркулируют ПДн - обязательно защищать по 21 Приказу, включая полный анализ разбора ситуации с необходимостью или отсутствие необходимости в применении сертифицированных СЗИ; 3) внешние (доступные не только для сотрудников гос.органа) ИС, в которых циркулирует ИОД-не-ГТ, - обязательно защищать и аттестовать в полном соответствии с 17 Приказом; 3) внешние (доступные не только для сотрудников гос.органа) ИС, в которых циркулируют ПДн, - обязательно защищать и аттестовать в полном соответствии с 21 Приказом (да-да, и аттестация обязательна, и применение сертифицированных СЗИ обязательно). Это все потребует не таких уж баснословных затрат как с позиции разработки (изменения) НМД, так и с позиции конечных объектов. Все-таки основной "энергозатратный" элемент - это внешние системы, которых в гос.органах не так уж много (и они не такие уж глобальные), если судить по всей стране... Главное - это добить-таки Методику УБИ для ИС (любых) и решить вопрос с НДВ (которые по ПП 1119). В противном случае, маразм будет только крепчать... |
Автор: Dfg | 69448 | 08.03.2017 10:57 |
--Oko
Наиболее бредовая идея с исключением 4 класса защищенности...--- Просто делают схемы выбора СЗИ прозрачными. 3 класса систем и три соответствующих класса СЗИ. |
Автор: oko | 69453 | 08.03.2017 20:58 |
to Dfg
А у нас вообще существуют добротные СЗИ, сертифицированные по 6 классу и не имеющие "старших братьев" с сертификатом под более высокие классы? :) Главный косяк - это разрешение применения СЗИ, сертифицированных по ТУ. Тоже огромное "окно" для применения всяческих "поделий" (камешек в огород Панциря, ага)... Пусть и сделанное в угоду хорошим продуктам, не вписывающимся пока в существующие профили сертификации... |
Автор: witomin, ГАУ ТО "ЦИТ" г. Тула | 71545 | 27.04.2017 14:36 |
Коллеги, добрый день!
У меня вопрос по применению СЗИ для ГИС 2 класса. В 17 приказе есть фраза: "В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие поверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей." В сертификатах на СЗИ по профилям защиты не пишется о прохождении проверки на НДВ, в методических документах о профилях защиты также нет требований на контроль НДВ. Есть в природе вообще СЗИ, сертифицированные по профилям защиты и имеющие 4-й уровень контроля НДВ? Спасибо. |
Автор: WORM, MK | 71551 | 27.04.2017 15:26 |
2 witomin,
Дело в том, что в сами профили защиты уже включены требования контроля НДВ по соответствующему уровню. И в сертификатах сейчас не пишут про контроль НДВ. Если у вас, скажем, антивир 4-го класса, это означает, что он соответствует 4 НДВ, если 2-го - то 2 НДВ и т.д. Аналогично с другими продуктами, сертифицированными по ПЗ. Кое-где бывает, что даже 5 класс соответствует 4 НДВ, но это уже профиль надо читать, а это скучно. В 6-м классе НДВ нет. |
Просмотров темы: 8173