Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация ГИС по приказу №17 - Форум по вопросам информационной безопасности

Аттестация ГИС по приказу №17 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Nicke, Администрация Эдема | 91783 25.04.2018 00:08
2 12
Спасибо за ответ.
Из Вашего ответа вытекает следующий вопрос.
Мы физически находимся на Чукотке. ЦОД физически находится в Москве.
Каким образом мы можем обеспечить исполнение требований 17 приказа не имея физического доступа к ЦОДу? Или нам достаточно будет сделать свой пакет нормативных документов для ИС?

Автор: oko | 91784 25.04.2018 00:58
to Nicke
Запросите у владельца "аттестованного ЦОД" перечень пунктов 17 Приказа, которые выполняет их система защиты. А также официальный документ, какие меры защиты он (владелец) предоставляет для размещения вашей ИС. + не помешало бы ознакомиться с их Моделью угроз и Политикой инф.безопасности (наверняка не дадут, но попытаться надо). От этого и отталкивайтесь.
По-идее, если арендуется только виртуальное пространство, то владелец ЦОД должен выполнять меры по:
- защите среды виртуализации на уровне гипервизора и доступа к виртуальным машинам (но не на уровне гостевых систем!);
- ИАФ, УПД, РСБ при локальном (подчеркиваю) доступе к оборудованию (всему оборудованию, которое вы, как эксплуатант, будете использовать в рамках аренды, ага);
- МЭ (фильтрация и доверенная маршрутизация) и СОВ (для ГИС 1-2 классов, ага) на "входных" каналах связи;
- защищенный удаленный доступ для администрирования арендованной виртуальной инфраструктуры (не обязательно СКЗИ по ФСБ, кстати);
- ДЗ всех используемых эксплуатантом (арендатором) средств вычислительной техники (для ГИС 1-2 классов, ага);
- ведение журналов, инструкций и проч. бумажной работы в части физического доступа сотрудников ЦОД и иных лиц к оборудованию арендатора;
- ведение и передача эксплуатанту в копии перечня ТС (с зав. номерами, ага), на которых размещается ИС эксплуатанта.
От арендатора:
- ИАФ, УПД, РСБ, АВЗ и проч. на уровне гостевых ОС (если Частная модель угроз не "ликвидирует" часть этих мер, ага);
- усиления МЭ, СОВ, ДЗ;
- защищенный удаленный (сетевой) доступ к гостевым ОС и, собственно, ресурсам ИС;
- инструкции, приказы, журналы и проч. в части удаленного доступа к защищенной среде ЦОД, а также непосредственно к ресурсам и базам данных ИС (тут уже конкретика ИС важна, список может расширяться до бесконечности);
- ведение собственных перечней ТС и ПО в составе вашей ИС в целом (не только ЦОД, но и оконечные точки подключения, хотя тут возможны варианты).

ЗЫ На правах выражения "знаю, видел даже". Аттестованные ЦОД Ростелекома, которые мне попадались, это одна-две серверных стойки, под завязку набитые всяческим барахлом. Причем ИС конечного Заказчика (эксплуатанта) на серверах в этих "аттестованных" стойках не крутится и крутиться никогда не будет. Зато бумажка выдана красивая от совершенно неизвестной конторы-лицензиата...

Автор: Nicke, Администрация Эдема | 91924 26.04.2018 01:26
to oko

Огромное спасибо за исчерпывающий ответ.

Страницы: < 1 2

Просмотров темы: 10301

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*