Автор: Константин | 96895 | 11.07.2018 15:45 |
Добрый день!
Когда я разрабатываю модель угроз для ИСПДн по 21 Приказу ФСТЭК, то от определения актуальности угроз зависит необходима ли будет установка СЗИ для их нейтрализации, а когда разрабатываю модель угроз для ГИС по 17 Приказу ФСТЭК, то от определения актуальности угроз и уязвимостей зависит необходимость принятия дополнительных мер защиты. Правильно излагаю? Это я к тому, что получается если в ИСПДн есть возможность уйти от установки СЗИ определив угрозу неактуальной, то для ГИС её нет? |
Автор: oko | 96922 | 11.07.2018 19:50 |
В обоих случаях подход "угроза имеется? либо меняем техпроцесс, либо внедряем СЗИ"...
Разница в одном: в ИСПДн "актуальность" УБИ определяется не только техпроцессом и сертифицированными СЗИ, но и "несертифицированными" средствами и мерами защиты. В ГИС такого быть не может... |
Автор: Константин | 96946 | 12.07.2018 07:23 |
2 oko
Вот это вот ответ так ответ! Спасибо большое, надо куда-нибудь записать чтобы не забыть! Без иронии) |
Автор: Константин | 96992 | 12.07.2018 14:41 |
2 oko
А можно дополнительный вопрос. Вот например угрозы по Антивирусной защите (АВЗ) У нас в ГИС все сервера на linux CentOS, а дальше виртуалки. Файлы пользователей на серверах не обрабатываются. Выход в интернет есть через межсетевой экран. Админы ходят через защищенный канал. И мы очень не хотим загружать и без того загруженные серваки ещё и антивирусом. В модели угроз об этом отписались. В стиле, угроза вирусного заражения крайне мала и считаем не актуальной. Обратились в организацию у которой хотим пройти аттестацию, они говорят, хрен вам. Без Антивируса аттестацию не пройдете так как вирусов быть не может только в том случае, если нет доступа в интернет и флешки нельзя подключить. Это где-то прописано, что только в этом случае не может быть вирусной угрозы? И есть ли шанс, что найдем аттестующий орган, который согласится выдать нам аттестат на наших условиях, без использования антивируса в системе? |
Автор: oko | 97028 | 12.07.2018 19:34 |
to Константин
Шанс есть всегда... imho, если серверы все-таки обрабатывают ИОД (неясно, что вы понимаете под "файлы пользователей"), либо являются критичными узлами ИС (например, роли доменного сервера, DNS и т.п.), то и я бы такую ИС без АВЗ не аттестовал... ЕСЛИ: - ИОД на серверах нет, либо они не особо критичны; - у вас чистая ИСПДн (т.е. без натяжек на ГИС); - так уверены в "непробиваемости" CentOS (о чем, imho, сказать ничего положительного не могу, кстати); - используются иные механизмы контроля активности серверов (на сетевом и локальном уровнях; - нет лишних 10к на сертиф.АВЗ, ТО: - либо не ставьте АВЗ вообще, весьма четко описывайте неактуальность угрозы вредоносного кода (не просто "мы решили, что маловероятно", а конкретно почему) и продолжайте поиски "согласного лицензиата", а потом принимайте на себя риски общения с регуляторами в случае чего; - либо ставьте opensource-АВЗ (тот же ClamAV), переводите его в режим проверки по расписанию в наиболее ненагруженные периоды времени и далее по тексту, как сказано выше в соседнем "либо". В иных случаях настоятельно рекомендую перепроверить все еще раз, раскошелиться на тот же медиапак из 5 лицензий сертифицированного DrWeb, выделить минимальную виртуалку под его сервер управления и расставить агентов + сканер на все оные серверы. Благо, ЦУ DrWeb хорошо умеет Linux, не то что Kaspersky (не считайте за рекламу, ага). Работы будет (не считая закупки) часа на 2-3. И куда как меньше проблем (и бумажных, и согласовательных, и фактических) в будущем. А сканер можно через CRON в аналогичное расписание загнать (например, в "час волка" - ближе к 5 утра, ага)... ЗЫ Позже поглядеть активность, понять смысл сего мероприятия и уже готовому ЦУ докупить и подключить агентов и для рабочих станций, и для других сетевых ресурсов... ЗЗЫ А заодно еще однозначно решить, так ли защищен этот "защищенный канал" удаленного администрирования, как кажется, ага... |
Автор: Константин | 97089 | 13.07.2018 13:58 |
2 oko
Благодарю! |
Просмотров темы: 2835