Аттестация информационных систем - Форум по вопросам информационной безопасности

Подскажите пожалуйста. Можно ли на одном АРМ аттестовать 2 разные ГИС?

В 17-й приказ скоро внесут изменения и там, в частности, будет написано:
"Информационные системы, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации по требованиям защиты информации в составе указанной инфраструктуры ".

Исходя из этого считаю, что можно, при условии соблюдения всех юридич. моментов (чьи ГИС, кто их оператор(ы), кому будет выдан аттестат и т.п.)

"и там, в частности, будет написано:"
откуда инфа? Есть проект где-то?

Проект выкладывался на сайте Минюста. Со слов Лютикова на ТБ-форуме, должен был быть подписан в середине февраля и после регистрации в Минюсте будет опубликован. Ориентировочно - середина апреля.

Кстати, там еще будут оговорены условия аттестации ЦОД.
А так же сюрприз: " Проведение аттестационных испытаний информационной системы лицом (подразделением), осуществляющим проектирование и (или) внедрение системы защиты информации информационной системы не допускается"

" Проведение аттестационных испытаний информационной системы лицом (подразделением), осуществляющим проектирование и (или) внедрение системы защиты информации информационной системы не допускается"
Это финиш, товарищи... Ежели так, то это на корню убьет защиту ГИС везде (пожалуй, даже в Москве)... Ибо один вопрос, когда Заказчик тупой/хочет странного/денег имеет меньше, чем нужно... с этим как-то научились бороться/лавировать... Но аттестовать систему после того, как в ней покопались чужие руки далеко не всегда грамотных спецов... Или красиво сделать работающую систему защиты, но не иметь возможности ее же документально закрепить (большинству, как ни крути, нужны бумажки в первую очередь, причем бумажки финальные, аттестационные - а реалии безопасности во вторую - тем более в гос.органах)... Короче, нет слов...

*в сторону* понимаю, что такой подход предполагает как раз пресечение действий криворуких лицензиатов и наконец-таки появление той самой "этапности" в плане защиты ИС (все мы тут не девочки-мальчики, и знаем, сколько этапов на самом деле дает заказчику 1 лицензиат-аттестатор-проектировщик-интегратор), но... на деле будет обстоять все хуже некуда, подозреваю...

ЗЫ Также прогнозирую дичайший холивар между лицензиатами-исполнителями и лицензиатами-аттестаторами в каждом случае, когда будет внедряться не типовая система защиты (ОС+СЗИ НСД+АВЗ+МЭ+СОВ+СДЗ на любой класс ГИС)...

ЗЗЫ В самом худшем случае это все уйдет в бесконечную циркуляцию фирм-дочерок, в которых работают одни и те же специалисты, но с разным юр.лицом...

"...системы лицом (подразделением), осуществляющим проектирование и (или) внедрение системы защиты информации информационной системы не допускается"
организация то может быть одна, разные отделы и сотрудники.

Не нашел на сайте минюста. Можно кинуть ссылку?

Про Минюст это я для краткости написал. Если точнее - есть специальный портал, где выкладываются проекты всех НПА (кроме закрытых, конечно): http://regulation.gov.ru.

Ссылка вот: http://regulation.gov.ru/projects#npa=61307

Да, там появился и более свежий вариант поправок. Я цитировал с текста, который сохранил у себя.
Стало более мягко: " Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается ".
(тов. oko, все не так печально!)

И еще убрали слова "тестирование на проникновение", которые были в изначальном варианте (Лютиков, кстати, обещал убрать - не обманул).

Так что извиняюсь за неактуальную цитату.

Почитал... Полезных изменений кот наплакал, а вот геморроя предвидится еще больше, чем было...

Наиболее бредовая идея с исключением 4 класса защищенности... мало того, что Заказчик как правило ни в зуб ногой, какая же степень ущерба у его ИОД... так еще и не понятно, что делать с ГИС, которые созданы исключительно для обработки ПДн (бывают такие)... кто в здравом уме будет на себя брать ответственность за определение степени ущерба (=> уровня значимости => класса защищенности) ПДн некоторой совокупности физ.лиц? Это можно попытаться просчитать, если ПДн принадлежат небольшой группе лиц - сотрудникам организации. А если это ИС регионального (хотя бы) масштаба? Где-то тут на форуме уже проводил анализ парадоксальности такой ситуации...
Раньше можно было ГИС классифицировать по К4, но как ИСПДн по У3/У2/У1, и затем "подтянуть" класс ГИС до соответствующего К3/К2/К1. А теперь как предлагают действовать наши многомудрые? Лучше бы методику УБИ для ГИС допилили наконец...

Что конкретизировали политику в области аттестации ЦОД - великое дело, ага. Будто бы раньше понятно не было, что ЦОД (как место консолидации всех информационных потоков) = ядру ГИС, т.е. требует максимальной защищенности в рамках установленного для ГИС класса...

А вот с информационными системами общей инфраструктуры как-то не понятно. Что имели в виду авторы? Банальный пример аля "сервер домена, к которому подключены и АРМ ГИС, и АРМ <открытой ЛВС>"? Или нечто большее?

Больше всего мне эти "изменения" напоминают попытку внедрить своеобразную защиту от дурака и подлеца. Только дураки из числа Заказчиков/лицензиатов тоже кушать хотят, т.е. все равно будут лезть не в свою избу с тем самым самоваром. А подлецы... они вообще аки свиньи из пословицы...

ЗЫ Единственное, что реально порадовало - наконец закрыт вопрос с МЭ 3 класса для ГИС К1 и К2. Понятное дело, что под новые требования к МЭ ориентировались. Но все-таки приятно, что пропал маразм обязательности установки ГТшных МЭ... и да, хорошо, что успокоили с аттестационными испытаниями и проектированием... :)

В конце года планируют совсем новую версию приказа 17. И мер добавят, и сферу применения расширят (все будет, как Вы говорили, тов. oko - все, что в гос. - ГИС). Правда, пока они не определились что все-таки нужно обязательно аттестовать: либо только ГИС (в строгом понимании , которого и нету), либо вообще все госинформресурсы, кто бы и где бы их не обрабатывал (где на это денег взять?). По крайней мере, изначальный пыл (аттестовать всё!) несколько угас, так что посмотрим. А вот защищать надо будет все по 17-му (а не по СТР-К).