Инструкция администрация безопасности ИСПДн - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=17546&from=0

К списку тем | Добавить сообщение


Автор: Денис | 90918 11.04.2018 09:20
Добрый день.
Нужно ли писать инструкцию администратора безопасности ИСПДн, при условии, что внутри самой организации нет никакой ИС, кроме контроллера домена?
Отдел кадров и бухгалтера работают с сервисом "Барс" через браузер. В этой системе и ведётся учёт сотрудников, кадровые перемещения. Наша организация является только пользователем системы "Барс".

Автор: oko | 90923 11.04.2018 12:10
to Денис
Контроллер домена сам по себе != ИС ни при каком раскладе...
Молодцы, что через браузер работают. Вопросов два:
- как реализована защита в Барс (СКЗИ для канала связи, подсистемы ИАФ, РСБ, УПД и, наверняка, ЗВС)? впрочем, это вас касается мало, но узнать следует (а то будет как с госуслугами, ага);
- как реализована защита на вашей стороне? Модуль экстрасенсорики подсказывает, что никак. А быть должна (хотя бы в части орг.-реж. мероприятий).
Вот по второму вопросу инструкция (и не только администратору БИ, но и всем допущенным пользователям - можно Регламентом обозвать) должна быть...
Самое забавное, что "Барс" должны выставить вам требования по безопасности информации, которые вы должны под себя адаптировать (с учетом специфики) и соблюдать, ага...

Автор: Денис | 90931 11.04.2018 13:09
to oko
Доступ в Барс осуществляется через защищённую сеть ПАК Vipnet Coordinator.
Никаких требований фирма Барс не предъявляла. Я думаю, единственным требованием является наличие данного ПАК. Без него к системе не подключится.
Ваш модель экстрасенсорики подсказывает вам верно. Мы новая гос учреждение и на данный момент составляем документы.

Автор: malotavr | 90934 11.04.2018 15:35
Вы не являетесь оператором этой информационной системы и не уполномочены назначать для нее администратора ИБ. Такой администратор может вам понадобиться только если в эксплуатационной документации, предоставленной вам оператором системы, прописаны какие-то определенные меры защиты, которые вы должны реализовывать со своей стороны. Если нет - вся ответственность на операторе системы.

Автор: oko | 90941 11.04.2018 18:16
to malotavr
С учетом <Никаких требований фирма Барс не предъявляла> - без обид, но ваш совет так себе. В случае чего, достанется не только и не столько оператору (т.е. "Барс"), сколько эксплуатанту-владельцу ИОД (т.е. новому гос. учреждению тов. Дениса). И ключевое здесь - владелец ИОД (в нашем случае, ПДн + бухгалтерской мишуры), ага...

to Денис
Обращайтесь к ним. Пусть выставляют требования безопасности, говорят, по какому уровню (классу) защищенности определена ИС, показывают результаты актуализации по своей Модели угроз, разъясняют последующие организационные мероприятия, которые вам необходимо будет выполнить как эксплуатанту ИС...

Просмотров темы: 2638


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100