Дополнительное ПО - Форум по вопросам информационной безопасности

Здравствуйте. Подскажите пожалуйста, у нас в организации 4 уровень защищенности ИСПДн, потребовалась аттестация рабочих мест и фирма которая будет аттестовывать указала в коммерческом предложении дополнительное ПО: DALLAS LOCK и VipNet. ОС у нас windows 7 и судя по тому что она аттестована ФСТЭКом она удовлетворяет требования для 4 уровня защищенности https://www.1csoft.ru/publications/8143/10349712/ Или мы что то не так поняли?

DALLAS LOCK и VipNet
это доп. ПО от него можно отказаться, ваше право

Artem, получается windows 7 sp1 достаточно для 4 уровня защищенности?

Евгений, а у вас дистрибутив Win 7 в сертифицированном варианте? С формуляром, защитными голографическими наклейками и пр.? Если нет, то для выполнения требований надо ставить доп. ПО защиты информации от НСД (тот самый Dallas Lock, ну или их конкурентов). VipNet - это вообще отдельная песня - он защищает каналы связи, нужен, если Ваши линии связи проходят вне контролируемой зоны Вашей организации. Windows, даже сертифицированный, эту задачу не решает.

Начнем с того, что для У4 ИСПДн можно и без навесных СЗИ обойтись. Даже без ViPNet в случае передачи ПДн по открытым каналам связи. Но это вопрос моделирования угроз, обоснования, техпроектирования и проч.
В простом случае:
1. Если именно ваша Win7, установленная конкретно у вас, прошла сертификацию по линии ФСТЭК (например, закуплена была у Axsoft, на руках имеются паспорт-формуляры и проверенные дистрибутивы со спец.защ.знаком), то можно, в принципе, обойтись без DallasLock (+1 к тов. Alex_kl). Хотя, тут надо смотреть по конкретике работы вашей ИС в любом случае.
2. Если вы передаете ПДн в сторонние организации по открытым каналам связи (читай, через сеть Интернет и т.п.) + в защищенные ИС гос.органов, использующих ViPNet, то вам также придется использовать ViPNet. В других случаях можно, опять-таки, исходя из конкретики эксплуатации вашей ИС, решить вопрос либо без ViPNet, либо за счет аналогичных сертифицированных продуктов (СКЗИ).
И да, еще раз:
- сертификация - удостоверение, что программное обеспечение или программно-аппаратные комплексы соответствуют каким-либо конкретным стандартам безопасности, и могут использоваться в ИС определенного класса/уровня защищенности;
- аттестация - удостоверение, что вся совокупность мер защиты информации, принятых в ИС, соответствуют требованиям безопасности, установленным под конкретный класс/уровень защищенности ИС.