Требования к ИС - Форум по вопросам информационной безопасности
Требования к ИС - Форум по вопросам информационной безопасности
| Автор: Александр | 104972 | 30.11.2018 14:23 |
|
Добрый день, уважаемые коллеги! Заранее извиняюсь за тупые вопросы :-)
Пытаемся привести свою информационную систему в соответствие с законодательством, но не получается получить достоверные ответы на возникшие вопросы. 1. Требования законодательства к защите персональных данных требуют наличие обособленных информационных систем (в нашем случае - ЛВС) для сотрудников, обрабатывающих ПДН, которыми в моём случае являются бухгалтерия и кадры. Учреждением был приобретён ПАК VipNet координатор HW1000 (основная задача которого - подключение к ресурсам ЕЗСПДН местного правительства). Также указанная железка является сертифицированным межсетевым экраном. Так вот возникает вопрос - если я ставлю ПАК VipNet координатор HW1000 перед входом в локальную сеть, т.е. в 1 порт включаю канал провайдера, во 2й порт включаю неуправляемый коммутатор, к которому подключены компьютеры бухгалтерии и кадров (при этом ПАК VipNet координатор HW1000 также будет использоваться в качестве DHCP сервера, маршрутизация разрешается только внутри их локалки и выход в интернет опять же посредством ПАК), в 3й порт включаю оборудование для подключения остальной сети - L3 коммутатор D-link (сотрудники в остальной сети не осуществляют обработку персональных данных, только работают с конфиденциальной информацией, не составляющей гостайну - в нашем случае коммерческой тайной). Требуется ли в таком случае установка отдельных сертифицированных программ (или железок)-межсетевых экранов на ПК бухгалтерии и кадров? При подключении остальной сети к координатору планируется использование стороннего аппаратного или программного продукта для обеспечения маршрутизации внутри сети, требуется ли использование сертифицированного ПО или железки-маршрутизатора либо L3-свитча? Есть ли требования к ЛВС, персональным компьютерам, программам на рабочих местах сотрудников, получающих посредством координатора доступ к ресурсам защищённой сети Правительства? Сразу оговорюсь, что госуслуг никаких не предоставляем, но являемся оператором системы, которую местный компетентный орган упрятал в свою защищённую сеть (на его площадках размещены сервера). |
|
| Автор: Константин | 104986 | 01.12.2018 07:29 |
|
1. Где такое требование указано об обособленных ИС?
2. Ваши ПДн идут по 21 приказу фстэк. Рассматриваете угрозы, признаёте неактуальными. Можете не использовать сертифицированные средства. 3. Требования к Лвс и тд при подключении в сети правительства, кроме того что вы должны использовать vipnet я уверен нет. Вы же его не просто так купили, а скорее всего так указано в каких-то документах о подключении к ЕЗСПДН. Но если хотите опять же можете поискать эти документы и посмотреть в них. |
|
| Автор: Александр | 104992 | 01.12.2018 20:18 |
|
Есть вобщем местный регламент главного управления информатизации и связи, в мотивировочной части принят для исполнения: Федерального закона Российской Федерации от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» на основании:
- Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; - Федерального закона от 27.07. 2006 № 152-ФЗ «О персональных данных»; - Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»; - Приказа Министерства связи и массовых коммуникаций Российской Федерации от 23.06.2015 № 210 «Об утверждении технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия»; - Приказа Федеральной службы по техническому и экспортному контролю России от 11.02.2013 № 17 «Об утверждении Требований о защите информации не составляющей государственную тайну, содержащейся в государственных информационных системах»; - Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; - Постановления Правительства Севастополя от 21.12.2015 № 1242-ПП «О создании региональной защищенной телекоммуникационной сети передачи данных». Этот регламент описывает порядок взаимодействия с местным ГУИС с целью получения ключевых файлов для координатора либо для использования с персональными vipnet client. В него входит подготовка заявки с обоснованием, настройками, требуемыми ресурсами и матрицей доступа к ним, а также что ответственный в нашем учреждении совместно с их представителем проверяют работу ключей и соединения с требуемыми ресурсами, затем подписывается акт приемки и ввода в эксплуатацию. Также регламент предписывает осуществить опечатывание либо пломбирование СКЗИ (координатор либо ПК с установленным ПО VipNet Client). Иных особых требований нет, но я так предполагаю, что по регламенту по умолчанию предполагается, что в нашей ИС всё соответствует нормам законодательства. Или я что-то не так понимаю? |
|
| Автор: oko | 105009 | 02.12.2018 16:05 |
|
to Константин
<Рассматриваете угрозы, признаёте неактуальными. Можете не использовать сертифицированные средства> - стыдно так категорично заявлять, товарищ, - топикстартер может невесть что подумать, ага... to Александр Primo, на ViPNet есть формуляр, который требует доп. мер по факту СКЗИ самого по себе. И для HW, и для Client. Обратитесь туда... Secundo, ставить МЭ/СКЗИ на АРМ или не ставить, если в сети есть HW, - дело рук вашей модели нарушителя + уровня защищенности ИСПДн. Читайте 21 Приказ, оценивайте нарушителя, возможности, каналы утечки, УБИ и проч. Выносите вердикт. Модуль экстрасенсорики подсказывает, что для вашей схемы связи (1 link - ISP, 2 link - ИСПДн, 3 link - остальная ЛВС) можно МЭ/СКЗИ на АРМ в ИСПДн пренебречь. Ежели линии связи "Координатор - ИСПДн" не проложены хз как, хз где, хз кем обслуживаются и хз с чем пересекаются... Tertio, на АРМ в ИСПДн даже хостовые МЭ/СКЗИ решают только часть задач. Остальное опять-таки на откуп вашим Моделям и обязательным (минимум) требованиям 21 Приказа. Будет у вас У1 какой-нибудь (в бухгалтерии вряд ли, но всякое бывает) - придется и СДЗ лепить, и контроль устройств прикручивать, и проч., ага... |
|
| Автор: Константин | 105035 | 03.12.2018 10:12 |
|
2 Александр
У нас примерно такая же система у Правительства, только СКЗИ другое и мы его не закупаем,а нам его выдают. Требований дополнительных не выдвигается для нашего Учреждения. Недавно и проверка приходила из соотв. Комитета. В учреждении нет сертифицированных средств, главное чтобы документы были необходимые ну и доступа в интернет чтобы не было с машин бухгалтерии. 2 oko В чем стыд?! Логика! Законодательству не противоречу, нет. Значит говорю правду. |
|
| Автор: Константин | 105040 | 03.12.2018 11:40 |
|
2 Александр
Только такой вопрос у меня возник. У вас говорите система в закрытом сегменте оператором которой вы являетесь. А админит ее кто? Вы или тот же компетентный орган? |
|
| Автор: Александр | 105043 | 03.12.2018 13:01 |
|
2 Константин
На самом деле администратором системы по бумагам является Департамент архитектуры, но они как раз находятся в стадии подписания соглашения с местным ГУИС, которое как раз регламентирует размещение серверов с системой, а также обеспечение её доступности, и собственно функции администрирования серверов, на которых она крутится, возлагается на ГУИС. Было бы интересно с Вами пообщаться по обмену опытом, а то получается в нашем субъекте никто, кроме ГУИС, так и не добился соотвествия ИС законодательству о защите информации, перенимать опыт не у кого, а в ГУИСе собственно только 1 человек в этом что-то понимает, которого руководство всячески оберегает от внешних контактов) |
|
| Автор: Константин | 105050 | 03.12.2018 18:43 |
|
2 Александр
Без проблем, оставляйте удобный для общения контакт! |
|
Просмотров темы: 2605
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"