Порядок подключения АРМ к типовому сегменту - Форум по вопросам информационной безопасности

Добрый день, коллеги.

Просьба расписать порядок подключения доп. АРМ к аттетованному своему типовому сегменту.

1. Новый АРМ обязательно ли должен быть в составе новой ИС? Можно ли внести в состав аттестованной ИС?

2. Какие документы требуется сделать для подключения к типовому сегменту?

Спасибо.

to Андрей
Его должен расписывать тот, кто создал типовой сегмент + те, кто его аттестовал (при наличии). Не больше и не меньше, потому как слишком много нюансов...
Вопрос номер 1 вообще перегревает модуль семантического анализа, поэтому, от греха, лучше его переформулировать, ага...

to oko.

В том то и дело, что наша организация является лицензиатом ФСТЭК.
Поставлена задача аттестовать типовой сегмент с дальнейшем подключением в него АРМов.

Вот и вопрос пошел.
1. Нужно ли делать отдельно технический проект для каждого такого 'подключения'?
2. Можно ли внести в аттестованный типовой сегмент отдельно один АРМ (или нужно из этого АРМ делать отдельную ИС)?

Мало где расписано про это вообще..

Коллеги, можете помочь разобраться?

to Андрей
Для начала нужно разобраться с тем, чего вы хотите или что вам конкретно нужно...
Primo, в общем случае добавляемое АРМ и есть "типовой сегмент". Т.е. то, что совпадает по техпроцессу, применяемым ТСС, ОПО, ППО и СЗИ, по схеме и технологиям, по каналам и принципам обработки ИОД и т.д...
Secundo, если имеется куча одинаковых сегментов некоей ИС, представленных набором АРМ + что-то (и это АРМ + что-то всегда типовое согласно описанию выше), то добавление отдельного АРМ в подобный "типовой сегмент" равнозначно по принципу добавлению типового сегмента в ИС...
Tertio, ИС, в которой имеются типовые сегменты, остается все той же ИС вне зависимости от количества этих сегментов. Исключение составляет случай "масштаба", но тут уже нужно знать специфику классификации ИС...
Last, правила добавления/удаления/модернизации типовых сегментов, их компонент (того же одиночного АРМ) или всей ИС в целом определяются лицензиатом (при его привлечении) и Заказчиком. Как правило либо сразу в ТЗ, либо в итоговой пачке документации (например, по результатам аттестации), а лучше по соответствующим частям и тут, и там, и в ЧМУ (для первичной оценки - может статься, что наличие подобных сегментов вообще рубит защищенность ИС на корню, ага). Чтобы было понятно, кому, как и что делать в таком случае...

ЗЫ На вопросы о "конях в вакууме" никогда конкретного ответа не появится. Давайте сюда либо описание задачи, чтобы коллективным разумом было на что опираться и что советовать. Либо просите руководство отправить на курсы (в курилку или за барную стойку, ага) к другим лицензиатам - там разжуют основные варианты решения по каждому из "коней"...

to oko.

Да, конечно.

Есть информационная система из 2х АРМ (скажем - ИС 1), которая аттестована, как типовой сегмент по 17 приказу ФСТЭК России. В ИС разрешено распространять аттестат соответствия на аналогичные сегменты.

Есть дополнительно 5 АРМ (не входящие не в какую ИС), которые необходимо добавить в данный сегмент (без проведения аттестационных испытаний).
Нам, как лицензиату, не понятны такие вопросы:

- Нужно ли из этих 5ти АРМов формировать новую ИС (скажем ИС 2) и подключать ее к типовому сегменту, соблюдая все условия аттестата или же мы можем добавить эти 5 АРМ в состав ИС 1, тем самым распространив на них аттестат?
* поясню - Нужно ли формировать новые ИС при каждом таком подключении или можно все делать в составе основной ИС?

- Исходя из Вашего ответа выше, сразу рождается новый вопрос:
Технический паспорт, матрица доступа и т.д. нужно делать для этих 5ти АРМов отдельно или же можно 'встроить' в ИС 1?

- Как поступить с проектным решением для этих 5ти АРМ, особенно если можно их встроить в ИС 1? Может быть можно все сделать каким-то отдельным актом..

Просим помощи в решении задачи. Спасибо.

to Андрей
Во-первых, кто догадался ИС из двухАРМ аттестовать как "типовой сегмент". Сегмент чего, простите? Покажите, кто этот негодяй, чтобы мы могли его поймать и повесить завтра на крепостной стене...
Во-вторых, эти два АРМ в составе ИС аттестованы вами? Если да, то к чему вопросы? Если нет, то почему вы не обратились с ними к тому, кто выдал аттестат? Если этой конторы уже нет, то что мешает объединить те два АРМ с другими пятью и заново аттестовать это все как одну ИС? Если, конечно, все эти АРМ выполняют функции самой ИС...

У вас явное непонимание смысла сегментации и типового принципа. Сегмент может быть аттестован отдельно, а вот типовой сегмент нет, для того он и типовой. Только этот типовой сегмент должен полностю соответствовать некоему уже аттестованному эталону, по отношению к которому он типовой. Вот тогда на еего и возможно распространить условия Аттестата. А что при этом нужно оформлять, повторюсь, решает лицензиат, выдавший аттестат, совместно с заказчиком (владельцем, оператором). И те, кто будут добавлять в ИС новый типовой сегмент обязаны все эти решения соблюсти (мб и техпаспорт на сегмент подготовить, и ворох орд, и еще что-либо). Тогда и только тогда этот типовой сегмент войдет в состав ИС без необходимости проведения ему отдельных атт.испытаний, или проведения повторных атт.испытаний для всей ИС в целом...

to oko.

Нет, не мы. Сторонняя организация, спрашивать у нее как правильно сделать не хотелось бы по некоторым конкурирующим моментам.

Они аттестовали эти 2 АРМ как типовой сегмент с возможностью распространения его аттестата на другие аналогичные сегменты.
Прописали то, что фактически дублируется по 17 приказу про проектные решения, угрозы и класс защищенности.

Далее Заказчик обратился к нам с просьбой распространить аттестат этого типового сегмента на оставшиеся его АРМ (коих 5 шт).
Да, может мы не очень понимаем, как это правильно сделать. Вот и пытаемся понять. Хотелось бы Ваше мнение услышать, какие наши действия.

Начав с того, что эти 5 АРМ не в составе какой-либо ИС. Их вносить в состав аттестованной ИС или же создавать из них новую ИС и распространять аттестат на нее?

to Андрей
Еще раз. Вы как сторонний лицензиат действие Аттестата, выданного другим лицензиатом, никуда и никак распространить не можете. Не вы его выдавали - и в общем случае это проблема чисто Заказчика и лицензиата-выдавшего-Аттестат...
Вы можете либо объединить нужну группу ТСС и аттестовать получившееся повторно. При этом Заказчик либо выводит из эксплуатации старую ИС (из двух АРМ) и вводит в эксплуатацию новую (из, соответственно, 7 АРМ). Но тут возможны нюансы "сохранения имени ИС" и проч. из разряда бессмысленной траты бюджетных средств, ага. Также Заказчик прорабатывает с вами или еще с кем-либо все то барахло, что положено для разработки,аттестации и ввода в эксплуатацию новой ИС...
Иной вариант: вы повышаете свой тезаурус на понятие "контроль эффективности принятых мер защиты", Заказчик добавляет эти 5 АРМ к существующей ИС, а вы проверяете и даете заключение,что все условия модернизации (в вашем случае - расширения) существующей ИС, включая выполнения требований регулятора и отсутствие новых угроз (надо бы обосновать) соблюдены. И радостный Заказчик на основании изложенных выводов продолжает эксплуатацию расширенной ИС, но... старый лицензиат при желании может докопаться до пары ему одному известных нюансов и отозвать Аттестат. Исходя из конкурентных соображений, ага...

Приказ ФСТЭК № 77 от 29.04.2021 идею типового сегмента "ПРИДАВИЛ"
Дискуссия бессмысленная.
ФСТЭК России с 01.09.2021 будет требовать каждый раз аттестацию или доп. аттестационные испытания