Документы по ИБ - Форум по вопросам информационной безопасности

To oko
"ЗЗЫ И еще. Если вы весь комплекс мероприятий по ПП РФ 1119 и Приказу 21 выполняете самостоятельно без привлечения лицензиата, то и ПиМ, и Протоколы имеете право оформить самостоятельно в стиле "я художник - я так вижу" (с)"

Ну и правильно, хоть тут гибкость составили. Только жестко фиксированных форм из прошлого века не хватало.
Вся проблема в том для кого эти документы пишут. А в большинстве случаев эти документы никому кроме проверяющий не нужны. Эта толстая пачка пылится в чулане и в реальной работе не используется.
У меня реальная модель угроз в базе сканера уязвимостей с соотвестующими кейсами закрытия, принятия или переноса, актуальная модель доступа в системе idm. Сажать человека, который будет долбить целыми днями бумагу отображая постоянные изменения в системах. Какое то не рациональное использование человеческих ресурсов в век автоматизации.

"Это бизнес, который est business. И в него так просто никто никого не пускает. Как и в любой бизнес, начиная с клепания разнородных мессенджеров (особенно, охаянных особистами, ага) и заканчивая ежегодном изменением дизайна раскрученных брендов (с повально платным софтом, ага)..."

Кстати пользуясь случаем даю наводку на чатики телеги для всех желающих пообщаться вне форума в профильной тусовке.

@RuScadaSec - защита асутп
@KII187FZ - защита КИИ
@phd_soc - сок, сием и прочий тренд.
@astralinux - наше светлое импортозамещаемое будушее .

to oko
вашу позицию по поводу применения 17 Приказа я понял.
Тогда еще вот такой вопрос, если позволите. Имеется ли понятие мобильного ОИ и как с ним быть в разрезе 17 Приказа?

to Мимопроходящий
А 17 Приказу без разницы, imho. Хоть стационарные, хоть портативные (которые ноутбуки), хоть мобильные (которые смартфоны, ага), хоть чертова нога...
Есть пункты ЗТС (и прочие пункты в зависимости от технологии доступа к ИОД) под конкретный класс защищенности ИС. Есть возможность "компенсирующих мер" через Модель угроз. Правильно построить систему защиты, не нарушая ни логики, ни требований 17 Приказа, можно...
Если конкретизируете, что-то более детальное скажу. Пока несколько не понимаю сути вопроса, если честно...

to oko
специализируюсь больше по ГТ, поэтому с конфой пока на ВЫ...
В подразделении хотят создать мобильный ОИ с пометкой "для служебного пользования", а именно ноутбук, с которым будут ездить по районам и готовить справки.
Есть два варианта развития событий: либо сказать, что такое невозможно (читай слишком сложно), либо просто создать.
Если говорить про ГТ, то в СТР такой понятия как мобильный ОИ не было, 025 это понятие "ввел" и "говорит" как привести такой объект в соответствие.

to Мимопроходящий
Смотрите, 17 Приказ - это не набор "можно/нельзя" как в ГТ. В 17 Приказе изложены только "базисы", а конкретику вы разрабатываете и устанавливаете для каждой ИС самостоятельно (на основе оценки актуальности угроз, возможностей нарушителей, исходя из экономических/функциональных соображений и ограничений и т.д.). Можете использовать и "усиления" по "базисам" (см. методичку "Меры защиты информации в ГИС" 2014, сайт ФСТЭК). Но эти усиления также должны быть, во-первых, нужны конкретно вам и в конкретной ИС, во-вторых, обоснованы техпроцессом обработки информации и актуальными угрозами в конкретной ИС...
Например, необходимость УПД.6 при обычной парольной защите. В "базисе" количество попыток авторизации должно быть конечным и зависит от ИАФ.4. Но там есть только минимум (от 3 до 10 неуспешных попыток), максимум вы выбираете самостоятельно. При "усилении" уже появляется конкретика: автоматическая блокировка операционной среды, извещение администратора, затирание ИАФ-информации, использование CAPTCHA и т.д. Но опять-таки, вас никто не заставляет выбрать именно тот путь реализации, который не подходит для вашей ИС...
Аналогично с применением ТС = ноутбук, т.е. без привязки к месту размещения. Ориентируясь на класс защищенности, функционал рабочего места, угрозы безопасности, актуальные для этого ноутбука (аппаратная часть, программная часть, каналы связи, места возможного размещения, персонал и т.д.), вы можете разработать свою политику, свои требования. Главное, чтобы они не противоречили "базису" 17 Приказа под этот установленный класс защищенности ИС. Вплоть до "перевозить только в мет.кейсе, пристегнутом наручниками к охраннику, вооруженному АК-47; работать только в маск-палатке в поле, где на расстоянии 2 км. во все стороны отсутствуют посторонние строения, транспорт, люди, искусственные спутники и т.д."...
Короче, несколько более творческий подход по сравнению с СТР-К + РД АС НСД. Тем оно и приятнее, и перспективнее. Хотя по-началу сложно перестроиться после догматов системы ЗГТ, ага...