Автор: Андрей | 109433 | 13.08.2021 03:52 |
Добрый день, коллеги.
Просьба расписать порядок подключения доп. АРМ к аттетованному своему типовому сегменту. 1. Новый АРМ обязательно ли должен быть в составе новой ИС? Можно ли внести в состав аттестованной ИС? 2. Какие документы требуется сделать для подключения к типовому сегменту? Спасибо. |
Автор: oko | 109437 | 14.08.2021 00:02 |
to Андрей
Его должен расписывать тот, кто создал типовой сегмент + те, кто его аттестовал (при наличии). Не больше и не меньше, потому как слишком много нюансов... Вопрос номер 1 вообще перегревает модуль семантического анализа, поэтому, от греха, лучше его переформулировать, ага... |
Автор: Андрей | 109438 | 14.08.2021 14:44 |
to oko.
В том то и дело, что наша организация является лицензиатом ФСТЭК. Поставлена задача аттестовать типовой сегмент с дальнейшем подключением в него АРМов. Вот и вопрос пошел. 1. Нужно ли делать отдельно технический проект для каждого такого 'подключения'? 2. Можно ли внести в аттестованный типовой сегмент отдельно один АРМ (или нужно из этого АРМ делать отдельную ИС)? Мало где расписано про это вообще.. |
Автор: Андрей | 109440 | 16.08.2021 16:05 |
Коллеги, можете помочь разобраться?
|
Автор: oko | 109441 | 17.08.2021 01:24 |
to Андрей
Для начала нужно разобраться с тем, чего вы хотите или что вам конкретно нужно... Primo, в общем случае добавляемое АРМ и есть "типовой сегмент". Т.е. то, что совпадает по техпроцессу, применяемым ТСС, ОПО, ППО и СЗИ, по схеме и технологиям, по каналам и принципам обработки ИОД и т.д... Secundo, если имеется куча одинаковых сегментов некоей ИС, представленных набором АРМ + что-то (и это АРМ + что-то всегда типовое согласно описанию выше), то добавление отдельного АРМ в подобный "типовой сегмент" равнозначно по принципу добавлению типового сегмента в ИС... Tertio, ИС, в которой имеются типовые сегменты, остается все той же ИС вне зависимости от количества этих сегментов. Исключение составляет случай "масштаба", но тут уже нужно знать специфику классификации ИС... Last, правила добавления/удаления/модернизации типовых сегментов, их компонент (того же одиночного АРМ) или всей ИС в целом определяются лицензиатом (при его привлечении) и Заказчиком. Как правило либо сразу в ТЗ, либо в итоговой пачке документации (например, по результатам аттестации), а лучше по соответствующим частям и тут, и там, и в ЧМУ (для первичной оценки - может статься, что наличие подобных сегментов вообще рубит защищенность ИС на корню, ага). Чтобы было понятно, кому, как и что делать в таком случае... ЗЫ На вопросы о "конях в вакууме" никогда конкретного ответа не появится. Давайте сюда либо описание задачи, чтобы коллективным разумом было на что опираться и что советовать. Либо просите руководство отправить на курсы (в курилку или за барную стойку, ага) к другим лицензиатам - там разжуют основные варианты решения по каждому из "коней"... |
Автор: Андрей | 109448 | 17.08.2021 17:17 |
to oko.
Да, конечно. Есть информационная система из 2х АРМ (скажем - ИС 1), которая аттестована, как типовой сегмент по 17 приказу ФСТЭК России. В ИС разрешено распространять аттестат соответствия на аналогичные сегменты. Есть дополнительно 5 АРМ (не входящие не в какую ИС), которые необходимо добавить в данный сегмент (без проведения аттестационных испытаний). Нам, как лицензиату, не понятны такие вопросы: - Нужно ли из этих 5ти АРМов формировать новую ИС (скажем ИС 2) и подключать ее к типовому сегменту, соблюдая все условия аттестата или же мы можем добавить эти 5 АРМ в состав ИС 1, тем самым распространив на них аттестат? * поясню - Нужно ли формировать новые ИС при каждом таком подключении или можно все делать в составе основной ИС? - Исходя из Вашего ответа выше, сразу рождается новый вопрос: Технический паспорт, матрица доступа и т.д. нужно делать для этих 5ти АРМов отдельно или же можно 'встроить' в ИС 1? - Как поступить с проектным решением для этих 5ти АРМ, особенно если можно их встроить в ИС 1? Может быть можно все сделать каким-то отдельным актом.. Просим помощи в решении задачи. Спасибо. |
Автор: oko | 109452 | 18.08.2021 15:11 |
to Андрей
Во-первых, кто догадался ИС из двухАРМ аттестовать как "типовой сегмент". Сегмент чего, простите? Покажите, кто этот негодяй, чтобы мы могли его поймать и повесить завтра на крепостной стене... Во-вторых, эти два АРМ в составе ИС аттестованы вами? Если да, то к чему вопросы? Если нет, то почему вы не обратились с ними к тому, кто выдал аттестат? Если этой конторы уже нет, то что мешает объединить те два АРМ с другими пятью и заново аттестовать это все как одну ИС? Если, конечно, все эти АРМ выполняют функции самой ИС... У вас явное непонимание смысла сегментации и типового принципа. Сегмент может быть аттестован отдельно, а вот типовой сегмент нет, для того он и типовой. Только этот типовой сегмент должен полностю соответствовать некоему уже аттестованному эталону, по отношению к которому он типовой. Вот тогда на еего и возможно распространить условия Аттестата. А что при этом нужно оформлять, повторюсь, решает лицензиат, выдавший аттестат, совместно с заказчиком (владельцем, оператором). И те, кто будут добавлять в ИС новый типовой сегмент обязаны все эти решения соблюсти (мб и техпаспорт на сегмент подготовить, и ворох орд, и еще что-либо). Тогда и только тогда этот типовой сегмент войдет в состав ИС без необходимости проведения ему отдельных атт.испытаний, или проведения повторных атт.испытаний для всей ИС в целом... |
Автор: Андрей | 109453 | 18.08.2021 15:54 |
to oko.
Нет, не мы. Сторонняя организация, спрашивать у нее как правильно сделать не хотелось бы по некоторым конкурирующим моментам. Они аттестовали эти 2 АРМ как типовой сегмент с возможностью распространения его аттестата на другие аналогичные сегменты. Прописали то, что фактически дублируется по 17 приказу про проектные решения, угрозы и класс защищенности. Далее Заказчик обратился к нам с просьбой распространить аттестат этого типового сегмента на оставшиеся его АРМ (коих 5 шт). Да, может мы не очень понимаем, как это правильно сделать. Вот и пытаемся понять. Хотелось бы Ваше мнение услышать, какие наши действия. Начав с того, что эти 5 АРМ не в составе какой-либо ИС. Их вносить в состав аттестованной ИС или же создавать из них новую ИС и распространять аттестат на нее? |
Автор: oko | 109458 | 20.08.2021 21:24 |
to Андрей
Еще раз. Вы как сторонний лицензиат действие Аттестата, выданного другим лицензиатом, никуда и никак распространить не можете. Не вы его выдавали - и в общем случае это проблема чисто Заказчика и лицензиата-выдавшего-Аттестат... Вы можете либо объединить нужну группу ТСС и аттестовать получившееся повторно. При этом Заказчик либо выводит из эксплуатации старую ИС (из двух АРМ) и вводит в эксплуатацию новую (из, соответственно, 7 АРМ). Но тут возможны нюансы "сохранения имени ИС" и проч. из разряда бессмысленной траты бюджетных средств, ага. Также Заказчик прорабатывает с вами или еще с кем-либо все то барахло, что положено для разработки,аттестации и ввода в эксплуатацию новой ИС... Иной вариант: вы повышаете свой тезаурус на понятие "контроль эффективности принятых мер защиты", Заказчик добавляет эти 5 АРМ к существующей ИС, а вы проверяете и даете заключение,что все условия модернизации (в вашем случае - расширения) существующей ИС, включая выполнения требований регулятора и отсутствие новых угроз (надо бы обосновать) соблюдены. И радостный Заказчик на основании изложенных выводов продолжает эксплуатацию расширенной ИС, но... старый лицензиат при желании может докопаться до пары ему одному известных нюансов и отозвать Аттестат. Исходя из конкурентных соображений, ага... |
Автор: некто | 109469 | 24.08.2021 18:18 |
Приказ ФСТЭК № 77 от 29.04.2021 идею типового сегмента "ПРИДАВИЛ"
Дискуссия бессмысленная. ФСТЭК России с 01.09.2021 будет требовать каждый раз аттестацию или доп. аттестационные испытания |
Просмотров темы: 1570