Контакты
Подписка
МЕНЮ
Контакты
Подписка

Необходимость СЗИ 17 21 - Форум по вопросам информационной безопасности

Необходимость СЗИ 17 21 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Константин | 96895 11.07.2018 15:45
Добрый день!

Когда я разрабатываю модель угроз для ИСПДн по 21 Приказу ФСТЭК, то от определения актуальности угроз зависит необходима ли будет установка СЗИ для их нейтрализации,
а когда разрабатываю модель угроз для ГИС по 17 Приказу ФСТЭК, то от определения актуальности угроз и уязвимостей зависит необходимость принятия дополнительных мер защиты.
Правильно излагаю?
Это я к тому, что получается если в ИСПДн есть возможность уйти от установки СЗИ определив угрозу неактуальной, то для ГИС её нет?

Автор: oko | 96922 11.07.2018 19:50
В обоих случаях подход "угроза имеется? либо меняем техпроцесс, либо внедряем СЗИ"...
Разница в одном: в ИСПДн "актуальность" УБИ определяется не только техпроцессом и сертифицированными СЗИ, но и "несертифицированными" средствами и мерами защиты. В ГИС такого быть не может...

Автор: Константин | 96946 12.07.2018 07:23
2 oko

Вот это вот ответ так ответ! Спасибо большое, надо куда-нибудь записать чтобы не забыть! Без иронии)

Автор: Константин | 96992 12.07.2018 14:41
2 oko

А можно дополнительный вопрос.

Вот например угрозы по Антивирусной защите (АВЗ)
У нас в ГИС все сервера на linux CentOS, а дальше виртуалки. Файлы пользователей на серверах не обрабатываются. Выход в интернет есть через межсетевой экран. Админы ходят через защищенный канал. И мы очень не хотим загружать и без того загруженные серваки ещё и антивирусом. В модели угроз об этом отписались. В стиле, угроза вирусного заражения крайне мала и считаем не актуальной.
Обратились в организацию у которой хотим пройти аттестацию, они говорят, хрен вам. Без Антивируса аттестацию не пройдете так как вирусов быть не может только в том случае, если нет доступа в интернет и флешки нельзя подключить.
Это где-то прописано, что только в этом случае не может быть вирусной угрозы? И есть ли шанс, что найдем аттестующий орган, который согласится выдать нам аттестат на наших условиях, без использования антивируса в системе?

Автор: oko | 97028 12.07.2018 19:34
to Константин
Шанс есть всегда...
imho, если серверы все-таки обрабатывают ИОД (неясно, что вы понимаете под "файлы пользователей"), либо являются критичными узлами ИС (например, роли доменного сервера, DNS и т.п.), то и я бы такую ИС без АВЗ не аттестовал...
ЕСЛИ:
- ИОД на серверах нет, либо они не особо критичны;
- у вас чистая ИСПДн (т.е. без натяжек на ГИС);
- так уверены в "непробиваемости" CentOS (о чем, imho, сказать ничего положительного не могу, кстати);
- используются иные механизмы контроля активности серверов (на сетевом и локальном уровнях;
- нет лишних 10к на сертиф.АВЗ,
ТО:
- либо не ставьте АВЗ вообще, весьма четко описывайте неактуальность угрозы вредоносного кода (не просто "мы решили, что маловероятно", а конкретно почему) и продолжайте поиски "согласного лицензиата", а потом принимайте на себя риски общения с регуляторами в случае чего;
- либо ставьте opensource-АВЗ (тот же ClamAV), переводите его в режим проверки по расписанию в наиболее ненагруженные периоды времени и далее по тексту, как сказано выше в соседнем "либо".
В иных случаях настоятельно рекомендую перепроверить все еще раз, раскошелиться на тот же медиапак из 5 лицензий сертифицированного DrWeb, выделить минимальную виртуалку под его сервер управления и расставить агентов + сканер на все оные серверы. Благо, ЦУ DrWeb хорошо умеет Linux, не то что Kaspersky (не считайте за рекламу, ага). Работы будет (не считая закупки) часа на 2-3. И куда как меньше проблем (и бумажных, и согласовательных, и фактических) в будущем. А сканер можно через CRON в аналогичное расписание загнать (например, в "час волка" - ближе к 5 утра, ага)...

ЗЫ Позже поглядеть активность, понять смысл сего мероприятия и уже готовому ЦУ докупить и подключить агентов и для рабочих станций, и для других сетевых ресурсов...
ЗЗЫ А заодно еще однозначно решить, так ли защищен этот "защищенный канал" удаленного администрирования, как кажется, ага...

Автор: Константин | 97089 13.07.2018 13:58
2 oko

Благодарю!

Просмотров темы: 2836

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*