Автор: Вопроскин | 109842 | 08.03.2022 22:40 |
Добрый день!
Буду благодарен за консультацию. Есть файлы картографической основы, которые в совокупности своей являются секретными и хранятся в режимном помещении на аттестованном по ГТ АРМ. 100 файлов из них - это дсп. Их нужно периодически переносить на компьютеры, аттестованные по 17 приказу ФСТЭК. Берется DVD-RW, регистрируется как дсп. На него записывается 100 файлов и они переносятся на гисовский компьютер. Там с ними работают, потом происходит их зачистка с помощью СЗИ от НДС. И такие переносы могут быть по нескольку раз в день. Дальше развилка. Как переносить следующую партию файлов. Развилка. Либо нужно брать новый диск его регистрировать и переносить, а старый уничтожать по процедуре, но это прям, скажем, весьма затратный сценарий как по времени так и по деньгам. Вопрос: Если производить полное стирание DVD-RW диска, скажем, с помощью, какой-нибудь Неро и перезаписывать его до полного его выхода из строя и потом только регистрировать новый - это приемлемый вариант? Спасибо. |
Автор: Ikebot | 109843 | 09.03.2022 12:30 |
to Вопроскин, по поводу использования перезаписываемых дисков в букваре весьма однозначно все написано.
|
Автор: СМ | 109846 | 09.03.2022 14:55 |
To Вопроскин
Организация работы со сведениями ограниченного доступа, не составляющими государственную тайну (в Вашем случае дсп), включающая учет, использование и уничтожение носителей таких сведений (бумажных и машинных), регулируется локальными нормативными актами. Как сами пропишите, так и будет приемлемо. Если Вы относитесь к федеральному органу исполнительной власти, уполномоченному органу управления использованием атомной энергии или уполномоченному органу по космической деятельности, то Положение, утвержденное постановлением Правительства Российской Федерации от 3 ноября 1994 года № 1233, будет в помощь. Перед аттестацией ИС по требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2003 года № 17, должен был разрабатываться комплект проектной документации по ГОСТ 34.201. В решениях по организационному обеспечению этой проектной документации, скорее всего, разрабатывались инструкции для мер по защите машинных носителей информации: ЗНИ.1, ЗНИ.2 и ЗНИ.8. При их наличии можно поискать там... |
Автор: Вопроскин | 109848 | 10.03.2022 04:34 |
Ikebot
Смотрел в 3-х букварях (2 фстэка - старый и новый и 1 постановление правительства) как-то прямо не увидел. СМ Для МНИ, содержащих конфиденциальные сведения, процедура предусматривает уничтожение информации только в случаях утраты практической ценности, либо передачи носителя лицу, который не имеет права доступа к содержащейся на них информации. Уничтожение производится с применением сертифицированных средств. Никаких серт. средств для затирания информации на оптических дисках я не нашел. Есть неро - хорошая программа и, думаю, стирает она качественно, но она не сертифицированная Россией. В принципе, диск этот полностью контролируется администратором безопасности и доступ к нему имеют только АБ и начальник РСП. Информация, которая с него сбрасывается в ГИС после работы с ней, опять же, зачищается АБ с помощью сертифицированных СЗИ от НСД. Сомнения возникает вот в чем: 1. Как выше писал - информация дсп до определённого предела (100 файлов), а после - уже секретная. Если записать 100 файлов на новый диск, потом стереть его с помощью не сертифицированной неро и записать на него еще 100 файлов, но раз стирание произошло не с помощью серт ПО, то получается - на диске как бы 200 файлов и тогда он должен быть секретный. Логичная логика или нет? 2. Вот скидываются 100 файлов на ГИСовский компьютер, потом затираются с помощью СЗИ SNS8. Но ведь это СЗИ уровня "конфиденциально" и вроде бы как недостаточны для работы с секреткой, получается, что и здесь затирание недостаточное. То есть, типо файлы затерты, но не до конца и следующая 100 будет якобы прибавляться к предыдущий сотне и переводить информацию в категорию ГТ. Или это ущербная логика? |
Автор: СМ | 109849 | 10.03.2022 08:02 |
To Вопроскин
> Для МНИ, содержащих конфиденциальные сведения, процедура предусматривает уничтожение информации только... Какая именно процедура? Где она прописана? Если в Вашем локальном нормативном акте, Вы имеете полное право ее корректировать и работать дальше. Любые нормы для сведений, составляющих государственную тайну, не распространяются на информацию ограниченного доступа, содержащий сведения, составляющей государственную тайну. > Логичная логика или нет? > Или это ущербная логика? Чем закрывали в аттестованной ИС меры ЗНИ.1, ЗНИ.2 и ЗНИ.8? Напомню, что меры включают в себя не только техническую "составляющую", но и организационную (см. пункт 20 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2003 года № 17). При невозможности реализации в ИС выбранных мер защиты информации могут разрабатываться иные (компенсирующие) меры (см. пункт 23 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2003 года № 17). Ваши вопросы и рассматриваемые варианты решений напрямую связаны с указанными мерами ЗНИ.1, ЗНИ.2 и ЗНИ.8 в аттестованной ИС. Иначе говоря Вы хотите изменить (модернизировать) систему защиты информации этой аттестованной ИС путем включения программы Nero в состав мер защиты. Если ИС аттестована по Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2003 года № 17, то в ней должны были реализовать указанные меры ЗНИ (они базовые для всех категорий ИС) или выбраны компенсирующие меры. При этом выбранные меры защиты ИС не зависят от объема обрабатываемой в ней информации ограниченного доступа. Поскольку интересуемые Вас решения направлены на изменение системы защиты информации у аттестованной ИС, значит не устраивают реализованные в ней меры ЗНИ. В чем именно не устраивают действующие "аттестованные меры" пока не понятно. Логика условного выражения "100 несекретных файлов + 100 несекретных фалов = ГТ" напоминает анекдот про случай в рюмошной: - Сколько стоит одна капля водки? - Нисколько. - Тогда накапайте мне стакан! |
Автор: Вопроскин | 109850 | 10.03.2022 11:53 |
СМ
Спасибо большое за подробные разъяснения. На счет компенсирующих мер все понятно. "Какая именно процедура? Где она прописана?" Процедура прописана в локальном акте (в инструкции, утверждённой приказом). "Логика условного выражения "100 несекретных файлов + 100 несекретных фалов" Непонятность-то заключается в том, что нет ни одного (известного мне) аттестованного СЗИ которое бы имело функционал по стиранию информации на оптических дисках (DVD-RW). И если эту логику развивать, то получается, что стирание дисков с помощью не сертифицированной программы - равнозначно их не стиранию вообще. Вот и выходит, что раз диск не стерт и на него записывается информация, то когда она превысит установленный лимит по количеству - перейдёт в категорию "секретной", а это уже совсем другой разговор. |
Автор: СМ | 109851 | 10.03.2022 12:57 |
To Вопроскин
Кратким выражением "100 несекретных файлов + 100 несекретных фалов = ГТ" хотелось показать, что суть Вашего переживания понятна и на открытом форуме донести мысль, что, скорее всего, проблема к не полной мере выполнения режимных требований. ГТ не может состоять из несекретных частей, как и аттестованная ИС зависеть объема обрабатываемой информации. В первом случае возможна ошибка отделения ГТ от неГТ, во втором ошибка определения касса защищенности ИС (объем мер защиты в ИС занижен к объему обрабатываемых данных из-за неправильного выбора класса защищенности). С учетом того, что обработка ДСП-файлов у вас осуществляется с использованием съёмных носителей, но вторая ошибка маловероятна. Можно рассмотреть вариант, когда ведение учёта носителей CD-RW, используемых для переноса и хранения 100 несекретных файлов, получаемых из ГТ, осуществляется в РСП. В таком случае режимная система допуска будет разграничевать работу с носителями в целом, а на аттестованной ИС обработка будет проводиться только с определённой с информацией и только на определённый период времени. Плюс меры ЗНИ.1, ЗНИ.2, ЗНИ.8 и компенсирующие меры (в случае необходимости). |
Автор: oko | 109852 | 10.03.2022 12:59 |
*в сторону*
Все непросто с ситуацией "по совокупности". Ибо сегодня файлы, завтра буквы, послезавтра слова, а в конце недели страницы ГТ-документов с оправданием "да мы тут сами решили, что там нет ничего такого"... Отсюда вывод: вопросы подобного характера не покрываются стандартными правилами игры, а требуют явного определения и согласования. Включая, кстати, и детальную схему работы с носителями при "выводе из ГТ-АС - вводе в неГТ-АС - обработки - уничтожения". Порядок и правила должны знать в местных РСП и ПДТК. Вот через них эти вопросы и нужно решать, а не по форумам бегать в поисках Nero-заменителей, ага... Если же так хочется не в вопросе разбираться, а наводить тень на плетень в части работы с ИОД-не-ГТ, то можно сразу нормативку и по КТ/ИСПДн/АСУ ТП/КИИ приплести - че уж там, больше-то не меньше... |
Автор: Ikebot | 109853 | 10.03.2022 13:24 |
to Вопроскин, я почему сразу написал про букварь и перезаписываемые диски... посмотрите внимательно новый ФСТЭК, ваша схема может вообще оказаться не рабочей. А так я согласен с oko передача информации с ГТ в ГИС может сильно выйти боком.
|
Автор: Вопроскин | 109854 | 10.03.2022 13:35 |
СМ
"и на открытом форуме донести мысль" Секретных данных тут не разглашается. Сейчас диски - компашки отлетают как горячие пирожки. Только проблемы сейчас с закупками возникать начали... Вот рассматриваются варианты как быть дальше. oko "вопросы подобного характера не покрываются стандартными правилами игры" Вот именно. "требуют явного определения и согласования" С кем? С ФСБ, ФСТЭК? Писать письмо в одну из этих контор и просить разъяснения и согласования? "Порядок и правила должны знать в местных РСП и ПДТК." В том то и дело никто ничего не знает. То есть знает общие требования и транслирует их поэтому и записываем на диск, уничтожаем, стираем и т.д. А сейчас проблема купить диски в нужном количестве, а те, что есть - стоят как крыло от самолета. Что делать когда дисков не будет - останавливать работу организации? "да мы тут сами решили" Объемы определены не нами, а уполномоченным федеральным ведомством. |
Просмотров темы: 1419