Перемещение АРМов в рамках ГИС, МИС - Форум по вопросам информационной безопасности

Приветствую.
Всех с Новым годом.
Пока выходные и до работы еще несколько дней хотел бы посоветоваться.
Вопрос касается перемещения АРМов, которые аттестованы в рамках ГИС и МИС.

В общем, в организации есть АРМ которые аттестованые в рамках ГИС и МИС, при том некоторые сразу в 2 системах.
1. Насколько вообще допустимо перемещать аттестованные арм, т.е., скажем, из одного кабинета в другой?

2. Когда устроился в организацию (а это чуть больше полугода назад), то совпало, что по решению руководителя организации некоторые АРМ перемещались между кабинетами. Я консультировался с лицензиатом, они сказали, что допустимо но нужно будет фиксировать в изменения, а также сообщать об этом им.
Потом еще раз было одно перемещения арма из кабинета в кабинет и опять по решению руководителя.
Как раз перед НГ проходила переаттестация в рамках МИС. Лицензиат готовит весь пакет доков. Соответственно проведен аудит, составлен техпаспорт, нарисованы схемы размещения армов.
И тут в одном кабинете два пользователя поцапались и одна заявилась ко мне мол хочу переехать в такой-то кабинет.
Только оформлены все доки и опять перелопачивать, не говоря уже про то, что это доп. трата времени для меня (с учетом системного администрирования, и прочего-прочего - делать этого нет желания).
Я ей говорю, что перемещать нельзя т.к. рабочие места аттестованы... немного соврал, что процесс не завершен и т.д. Она поскандалила, мол места тусуются как хотят, а её ведите ли я посылаю.
В общем, я подозреваю, что она будет эту тему развивать.
А мне, если честно помимо всего прочего. как-то обидно. почему я должен исполнять прихоти каждого пользователя, а моё мнение, как АИБ - пустое, получается?

Вообщем, был бы благодарен если бы кто-нибудь поделился опытом в таких вопросах.
И кроме того, есть ли какие-либо разумные аргументы максимально препятствовать тусованию аттестованных армов по кабинетам?


Заранее Огромное спасибо!!!

Может быть желание пользователя - это закон?

Какой сакральный смысл рисовать схемы размещения --каждого-- арм? Раньше так упражнялись с стрк, сейчас есть 17 приказ. Пишите в документации, что все арм расположены в КЗ и обрисуйте границы КЗ.

А к вопросу о перемещении в принципе?
Тем более, когда это происходит по принципу "хочу и все".

Обратитесь к лицензиату выдавшему аттестат.. ему решать.

"есть ли какие-либо разумные аргументы максимально препятствовать тусованию аттестованных армов по кабинетам"
Программа аттестации заключение по результатам и сам аттестат, основанные на техзадании на СЗИ и модели угроз.

sekira
Лицензиат...
это вообще отдельная тема.
Они коммерческая контора, цель которых не потерять клиента (а мы являются автономной частью очень крупной конторы в регионе) и они скорее будут подстраиваться под нас, чем мы под них. т.е. на вопрос "можно ли перемещать армы?" они вряд тли начнут искать аргументы чтобы мы этого не делали.


Программа аттестации...
в том-то и дело, что руководитель у нас любит тусовать сотрудников по кабинетам, а поскольку на часть из них возложены функции в МИС и (или) ГИС, то как я описал выше приходилось перемещать вместе с рабместами т.к. они аттестованы в той или иной системе.
И он (руководитель) знает, что допускается перемещение, если это не нарушает технологический процесс и не создает новые угрозы.
создает ли это угрозы или нет - это вообще отдельная тема и доказывать руководителю (если он захотел поступить именно так) - бесполезно, что здесь монитор стоял повернутым к стенке, а тут к окну.
------------
Мне это, честно говоря, не очень нравилось, но вступать в спор с начальником не решился, а тут пользователи покомандовать. Говорить, что перемещать нельзя т.к. это нарушает... бесполезно - они прекрасно видят, как места тусуются по кабинетам.

А меня это в первую очередь задевает тем, что хочешь все привести в порядок, убрать бардак, который тут был, а не получается, потому что постоянно происходит: пользователи могут спокойно принести из дома клаву и пользоваться ей.
Мне удавалось убеждать их вернуть обратно, т.к. это очевидное нарушение.

Не мучайте юзеров и себя. :) Пусть катаются по кабинетам, но только в пределах КЗ и по согласованию с ИБ. После переезда править описание каждого Арм в AD или другой системе инвентаризации (учёт).

Вообще, похоже у вас нет четких процессов ИБ. Если на ваше мнение плюют с высокой колокольни, то это повод задуматься о разработке Политики (политик) ИБ, где будет описанно что можно, а что нельзя. С обязательным утверждением приказом у вашего высшего должностного лица ( главы МУП и т.д).
Тогда на каждый чих или наезд показываются конкретные пункты приказа главнюка, которые нарушают юзеры.
Недовольных отправлять качать права "наверх".

to Лирик
+1 к тов. Dfg
А вообще, чисто из практических соображений... Вот и повод рассматривать ПЭМИ для ГИС (МИС). Тогда на каждый переставленный АРМ потребуется проводить КЭ с перерасчетом зоны R2 и сравнением ее с "новой" границей КЗ...
Также поглядите, что в Частной модели угроз сказано про визуально-оптический канал. Это первое средство против "поворота монитора". И да, формализуйте эти нехитрые правила (на базе выводов ЧМУ) в единый документ аля "Политика ИБ" или "Регламент эксплуатации ИС". Подпишите у руководства, подпишите у юзеров. И разрубите этот гордиев узел без зазрений совести - хотелки (не обоснованные претензии, а именно "хотелки") юзеров на безопасность влиять не должны...
Если хотите совсем хардкорной практики, то попытайтесь оценить (и выразить в денежных единицах) затраты на перемещение АРМ, связанные с человеко-часами переучета, привлечением лицензиата и, в первую голову, с появлением новых векторов атак и УБИ. Потом эти веселые расчеты покажите руководству. Множество "послаблений" сразу отпадет...

Добрый день.
Хотелось бы уточниться по поводу техпаспорта на ГИС и ИСПДн, тобишь по 17 и 21 приказам ФСТЭК России. Явной отсылкой к техпаспорту в 17 и 21 приказе является АНЗ.4, которое можно делать в автоматическом режиме с помощью ПО.
Учитывая, то что ГОСТы по защите информации стали обязательными, а в ГОСТ 0043-003-2012 в приложениях, насколько помню была форма техпаспорта, нужно ли в ГИС и ИСПДн составлять техпаспорта?

up