Реализация меры защиты ИАФ.6 "Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)" в ГИС - Форум по вопросам информационной безопасности

Добрый день!

Допустимо ли обеспечивать меру защиты ИАФ.6 "Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)" в ГИС силами самописного ПО? Например, в виде входа в веб-интерфейс ИС только с помощью пары логин-пароль с реализацией механизма проверки на стороне сервера с помощью PHP.

11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации...
15.1. При проектировании системы защиты информации информационной системы:
...определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
...осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации...
...При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации и их сертификация...

Как определить, является ли информационная система ГИС или нет?

Спасибо за разъяснение!

Кто-нибудь может посоветовать сертифицированное СЗИ, реализующее ИАФ для веб-приложений? Чтобы пользователь получал доступ к веб-панели ГИС только после ввода логина и пароля? Я пока нашел только «Bars.Up.Access Manager», но у него срок действия сертификата ФСТЭК истек еще 19.06.2020...

Или стоит отказаться от веб-аутентификации вообще и реализовать ИАФ другим способом?

2 Антон

Все адекватные ГИС считают, что внешние пользователи не входят в состав ГИС.

Чем вы лучше или хуже?

"В соответствии с документом «Инфраструктура электронного правительства. Государственная информационная система «Единый портал государственных услуг (функций). Единое окно цифровой обратной связи». Модель угроз и нарушителя безопасности информации» от 31 марта 2021 года, рабочие места сотрудников органов и организаций, с которых осуществляется доступ к web-интерфейсу ПОС, являются внешними пользователями системы и не входят в состав ФГИС ЕПГУ"

https://docplayer.ru/208630307-Terminy-i-opredeleniya.html

*в сторону*
Самое неадекватное обоснование "внешности пользователей", которое приходилось видеть. Эдак можно любую машину и любого сотрудника, которые физически не разместились внутри кластера серверов, где крутится основной софт ГИС, рассматривать "внешними". Логично же...

to Антон
Завяжите процессы ИАФ своего веб-портала на ЕСИА и будет вам счастье. Как техническое, так и юридическое, ага...

2 oko

https://lib.itsec.ru/forum.php?from=-1&sub=14003

вы же сами мне об этом писали..

to Константин
Увы, диагональ иногда имеет последствия...
В приведенном выше прочел <сотрудников органов и организаций> как <сотрудников организации-владельца (оператора) ЕПГУ> (типа "наши удаленные работники для нас внешние пользователи"), оттуда и решил про неадекватность...
Спасибо, что обратили внимание. Пора, вестимо, прокачать модуль внимательности, ага...

Коллеги, а есть еще ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора.

С ним как быть? ЕСИА в принципе тоже можно прикрутить. Но вот админ же по ЕСИА заходить не будет. А админ тоже является работником оператора и настраивает ЕСИА. Что делать в этом случае?