Практика проведения контроля уровня защищенности информации в ГИС - Форум по вопросам информационной безопасности

Добрый день, коллеги! Необходимо провести контроль уровня защищенности информации в аттестованной информационной системе. Подскажите пожалуйста как на практике проходит данное мероприятие, какими документами фиксируется. В организации имеется Сканер-ВС , могу ли я его применить в этих работах?

to lex
Аналогично аттестационным испытанием с той лишь разницей, что быстрее и проще (если объект не менялся и аттестацию проводила та же организация)...
Проверка неизменности классификации объекта...
+ проверка неизмености состава, условий, архитектуры, принципов работы объекта в целом...
+ проверка неизменности условий функционирования, конфигураций и самих по себе компонент системы защиты, включая правила пользования и иные выставленные ограничения эксплуатации...
+ проверка наличия/отсутствия новых каналов/интерфейсов/методов обработки информации...
+ проверка наличия/отсутствия новых угроз, нарушителей, уязвимостей с момента прошлой проверки (в рамках аттестации, в рамках контроля, в рамках внеплановой оценки)...
+ проверка наличия/отсутствия новых требований, предъявляемых к действующему объекту (изменения законодательства, новые решения владельца/оператора объекта и т.д.)...
+ проверка корректности выводов аттестационной комиссии в рамках проведенных испытаний (хотя тут есть нюанс по сферам влияния и полномочиям, но, imho, если объект сохранил первичное состояние и аттестацию проводила сторонняя контора - нельзя пройти мимо, ага)...
+ оценка всех полученных данных в части их влияния на защищенность объекта в контексте предъявляемых требований регулятора(ов)...
А Сканер-ВС - это всего лишь инструмент, применяемый в рамках мероприятий контроля (в частности, при выявлении новых угроз и уязвимостей, внезапно появившихся каналов взаимодействия и уязвимых сервисов, которых раньше не было и т.д.)...

То есть если ничего не поменялось в ИС, то можно просто издать акт о неизменности классификации объекта. так ?

to Alex
Нет, проверка неизменности классификации - это только начало...
По-хорошему следует выполнить все приведенные проверки и, возможно, дополнительные (тут все зависит от характеристик оконечного объекта, условий его эксплуатации, ограничений эксплуатации и, возможно, спец.требований, предусмотренных для него)...
И по результатам контроля должно быть установлено, что объект либо не изменился и полностью соответствует тому состоянию, что было зафиксировано при проведении аттестации. Либо, что для объекта выявлены изменения (новые угрозы, уязвимости, модернизации архитектуры и техпроцесса и т.д.), но на защищенность объекта в целом они отрицательно не влияют...
А если влияют, то весь цикл работ по ЗИ придется повторить заново. Но это уже выходит за рамки контроля защищенности, ага...

то око... все что написали ИМХО или есть документы регулятора (вдруг что то упустил)?

to sekira
imho, разумеется. Так сказать по результатам комплексного анализа 77 Приказа, где про контроль не так уж и много (совсем мало, ага). Зато в целом это согласуется со всем циклом работ по ЗИ, включая практику, что была до ввода в действие 77...
Если имею на руках подтверждение от регулятора (или пункт опубликованных документов), то ссылаюсь на него обычно...

ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения.
вроде не отменен для КИ

to oko

подскажите как правильно зафиксировать проведение контроля уровня защиты информации в аттестованной ГИС. выполнили все проверки.
Может занести запись о проведении контроля в журнал проверок, и акт выполненных работ или протокол?
ps все делается своими силами впервые. :)
Спасибо!

to sekira
С одной стороны, да. Но с другой есть минимум три причины против этого ГОСТ:
1. ГОСТ с пометкой (и обязаловкой пометки при цитировании). Это означает, что для большинства владельцев/операторов аттестованных объектов он попросту недоступен. А ведь именно владельцы должны теперь проводить контроль - привлечение лицензиатов, конечно, никогда не возбранялось, но не означено теперь как явное требование...
2. Хотел сегодня его почитать и освежить в памяти, да не вышло по времени. Но сомневаюсь, что такая формулировкакак в 77 Приказе - контроль уровня защиты информации (откуда они вообще такой оборот вытащили? и где тогда показатели этого "уровня"?) - в ГОСТ 0043 2012 имеется. Со всеми вытекающими по юр.части его применения...
3. 77 Приказ на этот ГОСТ не ссылается (хотя ссылается на иной ГОСТ общего характера). А вы сами, помнится, мне несколько времени назад доказывали, что раз нет ссылки, то нет и обязаловки...
Плюс, насколько помню, ГОСТ 0043 2012 и 2013 шли парой - общие положения и программа и методика. Программа и методика (с разделами, формулировками и проч.) теперь идет по 77 Приказу - ГОСТ 2013 точно мимо. Резонно предположить, что и ГОСТ 2012 регулятор не предлагает брать за modus operandi. На что, в целом, намекают изменения в самой структуре аттестации ОИ, характеристики расписанных проверок (оценок) и т.п.
Но это опять-таки в порядке imho. Самому любопытно было бы найти однозначную точку в этом вопросе...

to Alex
Контроль должен оформляться протоколами. Форма протоколов в 77 Приказе не приведена (и, помнится мне, нигде никогда явно не приводилась). Так что в произвольной. Я бы взял каждый пункт проверок и расписал по нему, что делалось, как делалось и какой результат получен. Причем разбил бы на два-три протокола: технический контроль НСД, контроль принятых орг.мер, контроль ТКУИ (причем не инструментальный и если они вообще актуальны для объекта). И итоговый вывод по каждому протоколу: выполняются ли требования или нет; есть ли изменения или нет; насколько изменения критичны и являются ли поводом для повторной аттестации или доп.аттестационных испытаний...
И не забудьте в Техпаспорт внести реквизиты, даты и выводы по каждому протоколу...