Автор: Антон | 109371 | 15.07.2021 11:09 |
Добрый день!
Допустимо ли обеспечивать меру защиты ИАФ.6 "Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)" в ГИС силами самописного ПО? Например, в виде входа в веб-интерфейс ИС только с помощью пары логин-пароль с реализацией механизма проверки на стороне сервера с помощью PHP. |
Автор: sekira | 109372 | 15.07.2021 15:16 |
11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации...
15.1. При проектировании системы защиты информации информационной системы: ...определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации; ...осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации... ...При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации и их сертификация... |
Автор: Геннадий | 109373 | 18.07.2021 11:11 |
Как определить, является ли информационная система ГИС или нет?
|
Автор: Антон | 109375 | 18.07.2021 18:45 |
Спасибо за разъяснение!
Кто-нибудь может посоветовать сертифицированное СЗИ, реализующее ИАФ для веб-приложений? Чтобы пользователь получал доступ к веб-панели ГИС только после ввода логина и пароля? Я пока нашел только «Bars.Up.Access Manager», но у него срок действия сертификата ФСТЭК истек еще 19.06.2020... |
Автор: Антон | 109376 | 18.07.2021 18:45 |
Или стоит отказаться от веб-аутентификации вообще и реализовать ИАФ другим способом?
|
Автор: Константин | 109380 | 21.07.2021 11:57 |
2 Антон
Все адекватные ГИС считают, что внешние пользователи не входят в состав ГИС. Чем вы лучше или хуже? "В соответствии с документом «Инфраструктура электронного правительства. Государственная информационная система «Единый портал государственных услуг (функций). Единое окно цифровой обратной связи». Модель угроз и нарушителя безопасности информации» от 31 марта 2021 года, рабочие места сотрудников органов и организаций, с которых осуществляется доступ к web-интерфейсу ПОС, являются внешними пользователями системы и не входят в состав ФГИС ЕПГУ" |
Автор: oko | 109381 | 21.07.2021 12:10 |
*в сторону*
Самое неадекватное обоснование "внешности пользователей", которое приходилось видеть. Эдак можно любую машину и любого сотрудника, которые физически не разместились внутри кластера серверов, где крутится основной софт ГИС, рассматривать "внешними". Логично же... to Антон Завяжите процессы ИАФ своего веб-портала на ЕСИА и будет вам счастье. Как техническое, так и юридическое, ага... |
Автор: Константин | 109390 | 22.07.2021 17:36 |
Автор: oko | 109391 | 22.07.2021 21:00 |
to Константин
Увы, диагональ иногда имеет последствия... В приведенном выше прочел <сотрудников органов и организаций> как <сотрудников организации-владельца (оператора) ЕПГУ> (типа "наши удаленные работники для нас внешние пользователи"), оттуда и решил про неадекватность... Спасибо, что обратили внимание. Пора, вестимо, прокачать модуль внимательности, ага... |
Автор: Monty | 110379 | 20.09.2022 14:03 |
Коллеги, а есть еще ИАФ.1
Идентификация и аутентификация пользователей, являющихся работниками оператора. С ним как быть? ЕСИА в принципе тоже можно прикрутить. Но вот админ же по ЕСИА заходить не будет. А админ тоже является работником оператора и настраивает ЕСИА. Что делать в этом случае? |
Просмотров темы: 2965