Автор: Yul | 69406 | 06.03.2017 14:57 |
Подскажите пожалуйста. Можно ли на одном АРМ аттестовать 2 разные ГИС?
|
Автор: WORM, MK | 69407 | 06.03.2017 15:06 |
В 17-й приказ скоро внесут изменения и там, в частности, будет написано:
"Информационные системы, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации по требованиям защиты информации в составе указанной инфраструктуры ". Исходя из этого считаю, что можно, при условии соблюдения всех юридич. моментов (чьи ГИС, кто их оператор(ы), кому будет выдан аттестат и т.п.) |
Автор: sekira | 69415 | 06.03.2017 20:53 |
"и там, в частности, будет написано:"
откуда инфа? Есть проект где-то? |
Автор: WORM, MK | 69416 | 06.03.2017 21:08 |
Проект выкладывался на сайте Минюста. Со слов Лютикова на ТБ-форуме, должен был быть подписан в середине февраля и после регистрации в Минюсте будет опубликован. Ориентировочно - середина апреля.
Кстати, там еще будут оговорены условия аттестации ЦОД. А так же сюрприз: " Проведение аттестационных испытаний информационной системы лицом (подразделением), осуществляющим проектирование и (или) внедрение системы защиты информации информационной системы не допускается" |
Автор: oko | 69417 | 07.03.2017 00:08 |
" Проведение аттестационных испытаний информационной системы лицом (подразделением), осуществляющим проектирование и (или) внедрение системы защиты информации информационной системы не допускается"
Это финиш, товарищи... Ежели так, то это на корню убьет защиту ГИС везде (пожалуй, даже в Москве)... Ибо один вопрос, когда Заказчик тупой/хочет странного/денег имеет меньше, чем нужно... с этим как-то научились бороться/лавировать... Но аттестовать систему после того, как в ней покопались чужие руки далеко не всегда грамотных спецов... Или красиво сделать работающую систему защиты, но не иметь возможности ее же документально закрепить (большинству, как ни крути, нужны бумажки в первую очередь, причем бумажки финальные, аттестационные - а реалии безопасности во вторую - тем более в гос.органах)... Короче, нет слов... *в сторону* понимаю, что такой подход предполагает как раз пресечение действий криворуких лицензиатов и наконец-таки появление той самой "этапности" в плане защиты ИС (все мы тут не девочки-мальчики, и знаем, сколько этапов на самом деле дает заказчику 1 лицензиат-аттестатор-проектировщик-интегратор), но... на деле будет обстоять все хуже некуда, подозреваю... ЗЫ Также прогнозирую дичайший холивар между лицензиатами-исполнителями и лицензиатами-аттестаторами в каждом случае, когда будет внедряться не типовая система защиты (ОС+СЗИ НСД+АВЗ+МЭ+СОВ+СДЗ на любой класс ГИС)... ЗЗЫ В самом худшем случае это все уйдет в бесконечную циркуляцию фирм-дочерок, в которых работают одни и те же специалисты, но с разным юр.лицом... |
Автор: sekira | 69419 | 07.03.2017 10:28 |
"...системы лицом (подразделением), осуществляющим проектирование и (или) внедрение системы защиты информации информационной системы не допускается"
организация то может быть одна, разные отделы и сотрудники. Не нашел на сайте минюста. Можно кинуть ссылку? |
Автор: WORM, MK | 69421 | 07.03.2017 10:37 |
Про Минюст это я для краткости написал. Если точнее - есть специальный портал, где выкладываются проекты всех НПА (кроме закрытых, конечно):
Ссылка вот: |
Автор: WORM, MK | 69422 | 07.03.2017 10:45 |
Да, там появился и более свежий вариант поправок. Я цитировал с текста, который сохранил у себя.
Стало более мягко: " Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается ". (тов. oko, все не так печально!) И еще убрали слова "тестирование на проникновение", которые были в изначальном варианте (Лютиков, кстати, обещал убрать - не обманул). Так что извиняюсь за неактуальную цитату. |
Автор: oko | 69424 | 07.03.2017 13:10 |
Почитал... Полезных изменений кот наплакал, а вот геморроя предвидится еще больше, чем было...
Наиболее бредовая идея с исключением 4 класса защищенности... мало того, что Заказчик как правило ни в зуб ногой, какая же степень ущерба у его ИОД... так еще и не понятно, что делать с ГИС, которые созданы исключительно для обработки ПДн (бывают такие)... кто в здравом уме будет на себя брать ответственность за определение степени ущерба (=> уровня значимости => класса защищенности) ПДн некоторой совокупности физ.лиц? Это можно попытаться просчитать, если ПДн принадлежат небольшой группе лиц - сотрудникам организации. А если это ИС регионального (хотя бы) масштаба? Где-то тут на форуме уже проводил анализ парадоксальности такой ситуации... Раньше можно было ГИС классифицировать по К4, но как ИСПДн по У3/У2/У1, и затем "подтянуть" класс ГИС до соответствующего К3/К2/К1. А теперь как предлагают действовать наши многомудрые? Лучше бы методику УБИ для ГИС допилили наконец... Что конкретизировали политику в области аттестации ЦОД - великое дело, ага. Будто бы раньше понятно не было, что ЦОД (как место консолидации всех информационных потоков) = ядру ГИС, т.е. требует максимальной защищенности в рамках установленного для ГИС класса... А вот с информационными системами общей инфраструктуры как-то не понятно. Что имели в виду авторы? Банальный пример аля "сервер домена, к которому подключены и АРМ ГИС, и АРМ <открытой ЛВС>"? Или нечто большее? Больше всего мне эти "изменения" напоминают попытку внедрить своеобразную защиту от дурака и подлеца. Только дураки из числа Заказчиков/лицензиатов тоже кушать хотят, т.е. все равно будут лезть не в свою избу с тем самым самоваром. А подлецы... они вообще аки свиньи из пословицы... ЗЫ Единственное, что реально порадовало - наконец закрыт вопрос с МЭ 3 класса для ГИС К1 и К2. Понятное дело, что под новые требования к МЭ ориентировались. Но все-таки приятно, что пропал маразм обязательности установки ГТшных МЭ... и да, хорошо, что успокоили с аттестационными испытаниями и проектированием... :) |
Автор: WORM, MK | 69430 | 07.03.2017 13:52 |
В конце года планируют совсем новую версию приказа 17. И мер добавят, и сферу применения расширят (все будет, как Вы говорили, тов. oko - все, что в гос. - ГИС). Правда, пока они не определились что все-таки нужно обязательно аттестовать: либо только ГИС (в строгом понимании , которого и нету), либо вообще все госинформресурсы, кто бы и где бы их не обрабатывал (где на это денег взять?). По крайней мере, изначальный пыл (аттестовать всё!) несколько угас, так что посмотрим. А вот защищать надо будет все по 17-му (а не по СТР-К).
|
Просмотров темы: 8225