Контакты
Подписка
МЕНЮ
Контакты
Подписка

Практика проведения контроля уровня защищенности информации в ГИС - Форум по вопросам информационной безопасности

Практика проведения контроля уровня защищенности информации в ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: lex | 109670 04.12.2021 18:56
Добрый день, коллеги! Необходимо провести контроль уровня защищенности информации в аттестованной информационной системе. Подскажите пожалуйста как на практике проходит данное мероприятие, какими документами фиксируется. В организации имеется Сканер-ВС , могу ли я его применить в этих работах?

Автор: oko | 109672 04.12.2021 20:47
to lex
Аналогично аттестационным испытанием с той лишь разницей, что быстрее и проще (если объект не менялся и аттестацию проводила та же организация)...
Проверка неизменности классификации объекта...
+ проверка неизмености состава, условий, архитектуры, принципов работы объекта в целом...
+ проверка неизменности условий функционирования, конфигураций и самих по себе компонент системы защиты, включая правила пользования и иные выставленные ограничения эксплуатации...
+ проверка наличия/отсутствия новых каналов/интерфейсов/методов обработки информации...
+ проверка наличия/отсутствия новых угроз, нарушителей, уязвимостей с момента прошлой проверки (в рамках аттестации, в рамках контроля, в рамках внеплановой оценки)...
+ проверка наличия/отсутствия новых требований, предъявляемых к действующему объекту (изменения законодательства, новые решения владельца/оператора объекта и т.д.)...
+ проверка корректности выводов аттестационной комиссии в рамках проведенных испытаний (хотя тут есть нюанс по сферам влияния и полномочиям, но, imho, если объект сохранил первичное состояние и аттестацию проводила сторонняя контора - нельзя пройти мимо, ага)...
+ оценка всех полученных данных в части их влияния на защищенность объекта в контексте предъявляемых требований регулятора(ов)...
А Сканер-ВС - это всего лишь инструмент, применяемый в рамках мероприятий контроля (в частности, при выявлении новых угроз и уязвимостей, внезапно появившихся каналов взаимодействия и уязвимых сервисов, которых раньше не было и т.д.)...

Автор: Alex | 109681 06.12.2021 10:10
То есть если ничего не поменялось в ИС, то можно просто издать акт о неизменности классификации объекта. так ?

Автор: oko | 109682 06.12.2021 11:45
to Alex
Нет, проверка неизменности классификации - это только начало...
По-хорошему следует выполнить все приведенные проверки и, возможно, дополнительные (тут все зависит от характеристик оконечного объекта, условий его эксплуатации, ограничений эксплуатации и, возможно, спец.требований, предусмотренных для него)...
И по результатам контроля должно быть установлено, что объект либо не изменился и полностью соответствует тому состоянию, что было зафиксировано при проведении аттестации. Либо, что для объекта выявлены изменения (новые угрозы, уязвимости, модернизации архитектуры и техпроцесса и т.д.), но на защищенность объекта в целом они отрицательно не влияют...
А если влияют, то весь цикл работ по ЗИ придется повторить заново. Но это уже выходит за рамки контроля защищенности, ага...

Автор: sekira | 109689 07.12.2021 07:58
то око... все что написали ИМХО или есть документы регулятора (вдруг что то упустил)?

Автор: oko | 109691 07.12.2021 15:11
to sekira
imho, разумеется. Так сказать по результатам комплексного анализа 77 Приказа, где про контроль не так уж и много (совсем мало, ага). Зато в целом это согласуется со всем циклом работ по ЗИ, включая практику, что была до ввода в действие 77...
Если имею на руках подтверждение от регулятора (или пункт опубликованных документов), то ссылаюсь на него обычно...

Автор: sekira | 109696 08.12.2021 07:21
ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения.
вроде не отменен для КИ

Автор: Alex | 109697 08.12.2021 13:03
to oko

подскажите как правильно зафиксировать проведение контроля уровня защиты информации в аттестованной ГИС. выполнили все проверки.
Может занести запись о проведении контроля в журнал проверок, и акт выполненных работ или протокол?
ps все делается своими силами впервые. :)
Спасибо!

Автор: oko | 109698 08.12.2021 15:48
to sekira
С одной стороны, да. Но с другой есть минимум три причины против этого ГОСТ:
1. ГОСТ с пометкой (и обязаловкой пометки при цитировании). Это означает, что для большинства владельцев/операторов аттестованных объектов он попросту недоступен. А ведь именно владельцы должны теперь проводить контроль - привлечение лицензиатов, конечно, никогда не возбранялось, но не означено теперь как явное требование...
2. Хотел сегодня его почитать и освежить в памяти, да не вышло по времени. Но сомневаюсь, что такая формулировкакак в 77 Приказе - контроль уровня защиты информации (откуда они вообще такой оборот вытащили? и где тогда показатели этого "уровня"?) - в ГОСТ 0043 2012 имеется. Со всеми вытекающими по юр.части его применения...
3. 77 Приказ на этот ГОСТ не ссылается (хотя ссылается на иной ГОСТ общего характера). А вы сами, помнится, мне несколько времени назад доказывали, что раз нет ссылки, то нет и обязаловки...
Плюс, насколько помню, ГОСТ 0043 2012 и 2013 шли парой - общие положения и программа и методика. Программа и методика (с разделами, формулировками и проч.) теперь идет по 77 Приказу - ГОСТ 2013 точно мимо. Резонно предположить, что и ГОСТ 2012 регулятор не предлагает брать за modus operandi. На что, в целом, намекают изменения в самой структуре аттестации ОИ, характеристики расписанных проверок (оценок) и т.п.
Но это опять-таки в порядке imho. Самому любопытно было бы найти однозначную точку в этом вопросе...

Автор: oko | 109699 08.12.2021 15:52
to Alex
Контроль должен оформляться протоколами. Форма протоколов в 77 Приказе не приведена (и, помнится мне, нигде никогда явно не приводилась). Так что в произвольной. Я бы взял каждый пункт проверок и расписал по нему, что делалось, как делалось и какой результат получен. Причем разбил бы на два-три протокола: технический контроль НСД, контроль принятых орг.мер, контроль ТКУИ (причем не инструментальный и если они вообще актуальны для объекта). И итоговый вывод по каждому протоколу: выполняются ли требования или нет; есть ли изменения или нет; насколько изменения критичны и являются ли поводом для повторной аттестации или доп.аттестационных испытаний...
И не забудьте в Техпаспорт внести реквизиты, даты и выводы по каждому протоколу...

Страницы: 1 2 >

Просмотров темы: 1650

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*