Что дороже при реализации мер по 3б или 1г - Форум по вопросам информационной безопасности
Что дороже при реализации мер по 3б или 1г - Форум по вопросам информационной безопасности
| Автор: bwn | 78425 | 01.10.2017 17:46 |
|
Добрый день, уважаемые коллеги.
Интересует вопрос: при защите конфидента по РД от НСД интересует момент с затратами, связанными с реализацией мер по 3б или 1г. Что будет являться более затратным??? Данный вопрос адресован прежде всего людям, столкнувшимся с этим на практике, которые смогут дать четкий и объективный ответ. p.s. заранее спасибо |
|
| Автор: oko | 78427 | 02.10.2017 10:15 |
|
to bwn
3Б вообще исчез из поля зрения давно - не используйте этот класс (совет, не обоснованный законодательством, но с практической стороны общения с регулятором)... Если под Конфидентом понимается их линейка DallasLock 8.0-K или -С - они позволяют выполнить требования от 3Б до 1Г включительно (-С так вообще до 1Б). Главное, это умение настройки и реализации организационных мер... Т.е. разницы никакой в вашей ситуации. Разве что при 1Г журналы будут толще, а инструкций больше (не только админ же, ага). Тут весь вопрос, насколько вам критичен "русский лес"... |
|
| Автор: sekira | 78429 | 02.10.2017 12:37 |
|
Под какие требования и для чего создаете систему?
"но с практической стороны общения с регулятором" а можно поподробнее... в чем проблема? |
|
| Автор: oko | 78431 | 02.10.2017 12:53 |
|
to sekira
Проблема в недостаточном взаимопонимании понятия "пользователь" (в случае 3Б - "администратор")... Поясню на примере (это реальный диалог с представителями регулятора). Если 1 человек работает с системой, то "под кем"? Под уч. записью админа - это бред, там большинство функций СЗИ не работает. Под уч. записью юзера? Тогда в системе будет зарегистрировано минимум две уч. записи. Так что же имелось в виду в РД 90х гг. - пользователь как человек или как уч. запись? Таким образом куда как проще сделать 2Б вместо 3Б, даже при 1 фактическом человеке (разница все равно не ощутима). Чтобы "не бесить"... |
|
| Автор: Сергей И, ОГВ | 78433 | 02.10.2017 13:31 |
|
Так как есть ГОСТовское понятие пользователь автоматизированной системы, то скорее всего и имелся ввиду пользователь, как человек. Брать количество учётный записей за основу определения режима работы (однопользовательский или много пользовательский), по-моему, нет никакого смысла, т.к. не учётная запись является "слабым звеном", а человек. И чем их больше в системе, тем более она уязвима.
|
|
| Автор: sekira | 78434 | 02.10.2017 13:37 |
|
"там большинство функций СЗИ не работает"
те которые требуются для 3Б - работают. "пользователь как человек" конечно как человек, не было тогда учеток в современном понимании (я про 80 года с чего РД писалось) Чтобы "не бесить". Дак напишите человечески и не беситесь. Самое смешное что это все слова, просишь ссылки и письмено - тишина. |
|
| Автор: Александр | 78436 | 02.10.2017 14:19 |
|
"Слабым звеном" - это не грамотный Администратор ИБ.
Давно заметил, приезжает команда аттестовывать объект (орган, лицензиат) - вставляют флешки с тестами, запускают тесты.Возможно всю информацию скопировать в теневом режиме с вашего диска. Не пускайте органы с флешками - только диски одноразового применения. |
|
| Автор: oko | 78437 | 02.10.2017 15:01 |
|
to sekira
<те которые требуются для 3Б> - ах, ну да, формальный подход, как же я мог забыть: статКЦ, логинИАФ и маркировка МНИ, всем и каждому root-права - достойный пример системы защиты... <не было тогда учеток в современном понимании> - ага, а код писали на Cobol исключительно под однозадачный DOS... <Дак напишите человечески и не беситесь> - просили пример из практики - пожалуйста, но я бы не брезговал (вне зависимости от наличия или отсутствия бумажки)... to Александр <Не пускайте органы с флешками - только диски одноразового применения> - а еще не давайте им админских прав. Правда, тогда они большинство действий выполнить не смогут. Но кому какое дело? Недобросовестные лицензиаты с перезаписываемым МНИ - вот ключевой канал утечки! Размещение, замеры, ознакомление с документацией (включая результаты проверок), конечно, шелуха... |
|
| Автор: oko | 78439 | 02.10.2017 15:06 |
|
to Сергей И
В части логики про людей и уч. записи - полностью согласен. Но от этого не легче (иногда)... |
|
| Автор: bwn | 78443 | 02.10.2017 19:36 |
|
to sekira
to oko Посмотрел на вашу точку зрения. Но как насчет таких систем, пример: корпоративная система передачи данных, системы резервного копирования - для какого-то одного объекта??? Ведь там протекает конфидент, пользователем является админ, то бишь является единственным пользователем. Какой смысл такие системы классифицировать как 2б или 1г??? Ведь при том же 3б будет меньше мороки + дешевизна? P.S. Просьба высказать свое мнение к такому примеру, как вы считаете насчет этого. Интересно как вы смотрите на это |
|
Страницы: 1 2 3 >
Просмотров темы: 7415
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"