Автор: Вячеслав, Бюджет | 105630 | 25.01.2019 14:50 |
Доброго времени суток!
Прошу прощения если не умею пользоваться поиском, но ответа не нашел. Дано: Система документооборота(СЭД, 1С...) с 2 базами данных - "секретная" и "служебная". Обрабатываются только ПДн(без ГТ, уж не придирайтесь к названию). СЭД позволяет разграничить права пользователей. Т.е. пользователь А имеет доступ в об базы, а пользователь Б, только к базе "служебная". А вопрос вот какой: Может ли рассматриваться система разграничения доступа документооборота как выполнение требования УПД.2(Реализация необходимых методов и правил разграничения доступа) Приказа №21 ФСТЭК? Или для выполнения в данном случае разделять доступ можно только сертифицированными средствами? |
Автор: oko | 105631 | 25.01.2019 17:05 |
to Вячеслав
Решаете через Модель угроз. Для ИСПДн явного требования перекрывать все чисто сертиф.средствами нет. Протестируйте устойчивость такой схемы разграничения доступа. Если посчитаете, что для ИСПДн вашего уровня защищенности и для актуальных нарушителей такая схема является достаточной - убираете вопросы угроз за счет обхода системы разграничения прав доступа из актуальных и позже ссылаетесь на это при анализе защищенности ИСПДн... Либо пригласите экспертную организацию-лицензиата ФСТЭК - пусть они протестируют и выдадут рекомендации / решения (заодно помогут найти "забытых" юзеров, владеющих административными правами доступа к базе, ага)... Либо пообщайтесь с компанией 1С на предмет их ЗПК. Не знаю, насколько он применим к Документообороту, но, являясь "сертифицированной заплаткой" сразу снимает все вопросы к стойкости тех или иных защитных механизмов. Только опасное это дело, внедрять ЗПК в не типовых конфигурациях 1С (коих, как показывает практика, каждая вторая, ага)... |
Автор: Dfg | 105632 | 25.01.2019 21:25 |
Можно протестировать систему разграничения доступа (нсд) 1с в форме испытаний и ввода в эксплуатацию. Делаете методику испытаний, проводите по ней испытания, выпускаете Акт.
Так вы покажете себе и проверющим (кто это 2й вопрос) что разграничение действительно работает. |
Просмотров темы: 842