Автор: Игорь | 53025 | 14.08.2014 12:30 |
Уважаемые коллеги! Хочется услышать ваши мнения и, по возможности, ссылки на НМД по следующему вопросу.
Имеется организация - небольшой госорган, в котором требуется провести аттестацию нескольких ИСПДн - бухгалтерия и т.п., и АС (служебная тайна). ГИСами они не признаны, не суть какой там УЗ ПДн или класс АС. У них в штате нет квалифицированных ИБшников (администратора безопасности) или компьютерщиков, по ИТ находятся на аутсорсинге сторонней организации. Нужно обоснование для руководства госоргана со ссылкой на нормативные документы о необходимости введения такой должности в штат для обслуживания и администрирования ИСПДн или АС по конфиденциалке. В РД Гостехкомиссии по АС необходимость администратора (службы ) безопасности появляется только для классов АС по ГТ (2А, 1В и выше). По ПДн согласно ПП1119 (п.п.14-16) определено необходимость назначения должностного лица, ответственного за обеспечение безопасности ПДн, но = ли это администратору безопасности? В приказе 17 ФСТЭК (п.18) есть понятие администрирование, но это для ГИС. Вот и вопрос: чем всё-таки обосновать необходимость наличия такого специалиста в штате? |
Автор: sekira | 53028 | 14.08.2014 13:17 |
"чем всё-таки обосновать необходимость наличия такого специалиста в штате "
Ничем. Только производственной необходимостью и отсутствием доверия и лицензии по ТЗКИ у сторонней организации обслуживающей ваше ИСПДн. |
Автор: Dmitriy, Prominform | 53047 | 15.08.2014 13:30 |
Администратор безопасности не должен быть системным администратором. Это два разных человека. И в разграничении их обязанностей и возможностей кроется ключ к безопасности информации. Для администратора безопасности достаточно пройти курсы повышения квалификации по вопросам безопасности на базе высшего образования (инженерного, технического), и не должен быть "продвинутым компьютерщиком".
Администратор безопасности регулирует разграничение прав доступа всех возможных пользователей информационных систем, с этой целью осуществляет контроль за деятельностью системного администратора (или представителей фирмы осуществляющей обслуживание информационных систем) в рамках его должностных обязанностей, без права ознакомления с обрабатываемой информацией. Ответственные могут быть назначены или для каждой информационной системы, или для нескольких информационных систем, в рамках одного структурного подразделения организации. Это обусловлено тем, что ответственны за безопасность в отличии от администратора безопасности имеет право ознакомления с обрабатываемой информацией и владеет в полной мере информацией об особенностях обработки защищаемых сведений. А иметь своего администратора безопасности, или обратиться к лицензиату - вопрос для самостоятельного решения. |
Автор: Игорь | 53050 | 15.08.2014 14:54 |
Dmitriy, Prominform | 53047
"А иметь своего администратора безопасности, или обратиться к лицензиату - вопрос для самостоятельного решения" Про разделение функций системного администратора и администратора безопасности всё и так очевидно. Вопрос заключается в том, что в штате у этой организации нет ни того, ни другого. Про привлечение лицензиата вроде всё правильно с формальной точки зрения, т.е. если в штате организации нет своего администратора безопасности, то нужно пользоваться услугами стороннего лицензиата. Но тогда возникает ещё один вопрос - какой лицензируемый вид деятельности по ТЗКИ согласно ПП № 79 подпадает под понятие администрирование СЗИ НСД? Из перечисленных в п.4 этого Положения о лицензировании что-то сложно привязать к данному виду деятельности, так как в этих пунктах нет ключевого слова - "настройка" СЗИ НСД |
Автор: Dmitriy, Prominform | 53084 | 19.08.2014 11:59 |
"какой лицензируемый вид деятельности по ТЗКИ согласно ПП № 79 подпадает под понятие администрирование СЗИ НСД? Из перечисленных в п.4 этого Положения о лицензировании что-то сложно привязать к данному виду деятельности, так как в этих пунктах нет ключевого слова - "настройка" СЗИ НСД"
В качестве средств защиты от НСД вы можете использовать организационно-документальный метод, специальные программные или программно аппаратные комплексы. Какие средства защиты будет применять оператор - его выбор. Однако и доказывать, что используемые средства нейтрализуют угрозы НСД для системы тоже придётся оператору. Теперь по вопросу СЗИ. Установка и настройка СЗИ от НСД попадает под п. 4 пп. е) (ПП № 79): " установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)." Раз вы не знаете чем должен заниматься администратор безопасности, то поясняю. "Администратор - тип руководителя, который способен выявить место сбоя в работе и принять необходимые меры для его устранения." Деятельность администратора безопасности попадает под пункт 4 пп. а) и б) того же ПП №79. |
Автор: sekira | 53087 | 19.08.2014 13:32 |
Для Игоря
" нет ключевого слова - "настройка" СЗИ НСД" цеплятся к словаи не надо Дмитрий же написал уже е) установка, ..... программных (программно-технических) средств защиты информации, .... = "настройка" СЗИ НСД". Настройка СЗИ НСД - это сленг а не термин! Для Дмитрия "Администратор - тип руководителя, который способен выявить место сбоя в работе и принять необходимые меры для его устранения." А можно узнать откуда такое "пояснение"!? Пункт и название и как это относится к "администратору безопасности информации"? "Раз вы не знаете чем должен заниматься администратор безопасности, то поясняю" А еще пункты НМД где написано "администратор безопасности должен..." |
Автор: Практик | 53092 | 20.08.2014 08:47 |
> "цеплятся к словаи не надо Дмитрий же написал уже
> е) установка, ..... программных (программно-технических) средств защиты информации, .... = > "настройка" СЗИ НСД". > Настройка СЗИ НСД - это сленг а не термин!" sekira, исходная задача доказать плановикам, кадровикам и финансистам, которые визируют решения о договорах и штатных единицах. Их "сверхзадача" - экономия средств, поэтому, без однозначных НМД, ни аттестация, ни оснащение, ни штатная единица в планы финансирования не включаются. Прошу прощения за повтор тривиальных истин! Установка - процесс (по договору и пр.) однократный; эксплуатация, контроль и администрирование - постоянный. При отсутствии ведомственных приказов и разъяснений, судя по моему опыту и качеству ответов, задача обоснования корректного решения не имеет. Для формального выполнения, задачи возлагают "на кого попало" от завхоза до секретаря и бухгалтера. |
Автор: sekira | 53093 | 20.08.2014 10:02 |
"sekira, исходная задача доказать плановикам, кадровикам и финансистам, которые визируют решения о договорах и штатных единицах."
Дак я об этом и говорю. Обосновать нечем! Нет требований в НМД наличия именно" должности в штат для обслуживания и администрирования ИСПДн или АС по конфиденциалке". "Ответственный за обеспечение безопасности ПДн" не обязан по НМД проводить настройку и установку СЗИ. Не человека на которого это повесили а именно должности - штатной единицы. Это уже структура организации и требования вышестоящих организаций. |
Автор: Dmitriy, Prominform | 53098 | 20.08.2014 14:02 |
теперь ещё раз и по порядку.
1. В регламентирующих документах по защите персональных данных нет требований по наличию Администратора безопасности. Приведенный вами документ "РД Гостехкомиссии по АС" действует только в отношении систем обрабатывающих государственную тайну. 2. Если у вас "муниципальная" или "государственная" информационная система, то аттестация обязательна. 3. Если у вас система "иная", то достаточно проведения оценки соответствия. 4. Аттестация ИСПДн осуществляется по приказу ФСТЭК от 11.02.2013г. №17; оценка соответствия выполняется по приказу ФСТЭК от 18.02.2013г. № 21 (в этом случае можно обращаться к приказу №17 как к рекомендациям). 5. Если у вас обработка осуществляется без средств автоматизации, то все работы выполняются в соответствии с требованиям ПП. от 15.09.2008г. № 687. (внимательно прочитайте это постановление. Зачастую не смотря на наличие ЭВМ обработка происходит без средств автоматизации). 6. Администратор защиты (Security administrator) — это субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации (по руководящему документу «Защита от несанкционированного доступа к информации: Термины и определения»). 7. Чем занимается администратор по безопасности? Настраивает механизмы защиты ОС и СУБД, конфигурирует межсетевые экраны, средства обнаружения атак, предоставляет пользователям права на доступ к ресурсам сети и к базам данных, анализирует журналы регистрации ОС и средств защиты информации. |
Автор: Dmitriy, Prominform | 53099 | 20.08.2014 14:05 |
8. По вопросу защиты "Служебной тайны" требования как к конфиденциальной информации. Следовательно аттестация по СТР-К.
|
Просмотров темы: 46549