Входит ли удаленное рабоче место администратора в состав ГИС? - Форум по вопросам информационной безопасности

Добрый день!
Серверное, коммутационное и тд оборудование ГИС расположено в арендованных стойках стороннего ЦОД.
Подскажите, пожалуйста, входит ли в состав ГИС удаленное рабочее место администратора ГИС ?
Спасибо.

https://cisoclub.ru/distanczionnoe-rabochee-mesto-novoe-napravlenie-regulirovaniya-fstek/
Лукацкий пишет, что
12. Интересно, что действующие нормативные документы ФСТЭК запрещают осуществлять удаленный доступ администраторов к ГИС, требуя, чтобы администрирование было только локальным. Останется ли данное требование или его поменяют? Пока непонятно. Вроде как Шевцов Д.Н. упомянул, что изменения внесут, но по срокам см.выше.

Насколько это утверждение верно?

to Петр
Меньше слушайте переобувающихся кошководоводоведов - проще будет работать. В части удаленного доступа есть Методика ФСТЭК 2014 (де юре для ГИС, но де факто для любых ОИ). И в ней любые исключения администраторов/удаленного управления (УПД.13), двуфакторка (ИАФ.1) и проч. - это исключительно "усиление" базовых мер защиты. А любые "усиления" продиктованы объективной необходимостью (и Моделью угроз, ага)...
Есть, конечно, инфосообщение 240/84/389, но касалось оно, primo, ситуации с резким переходом на удаленку народа в период пандемии, и, secundo, исключительно субъектов КИИ...
А на тему первичного вопрос, алыверды для размышления: является ли в случае ДТП участником исключительно автомобиль без учета его водителя?

Для Петра:

> Подскажите, пожалуйста, входит ли в состав ГИС удаленное рабочее место администратора ГИС ?
Границы ГИС, как и любой другой ИС, определяются не только оборудованием в стойках ЦОДа. АРМы специалистов, как правило, также включаются в состав ИС. При размещении элементов ИС в ЦОДе надо смотреть на условия использования инфраструктуры ЦОДа по отношению к Вашей ГИС. Одно дело аренда "стойкоместа" с инженерными обеспечивающими системами (электропитания, заземления, кондиционирования), и другое дело, услуги с элементами администрирования (Hosting, IaaS, Paas, SaaS). Последние не могут оказываться без администрирования, в том числе администрирования ИБ. В этом случае способ организации администрирования (локальный или удаленный) входит в зону ответственности ЦОДа, обеспечивается и аттестуется в его границах. Для ГИСа это часть услуг ЦОДа, закрываемая условиями договора, соответствующими лицензиями и аттестатом.

> Насколько это утверждение верно?
А каково Ваше мнение? Без выражения собственного мнения простая переадресация чужого высказывания с просьбой высказать свою позицию - так себе перспектива...
Предполагаю, что размышления г-на Лукацкого, высказанные в феврале 2021, скорее всего, касаются норм в отношении объектов КИИ или ГИС, являющихся также и объектами КИИ. Возможен вариант с учетом каких-нибудь дополнительных ведомственных (отраслевых) норм.
Действующая редакция Требований, утв. приказом ФСТЭК от 11.03.2013 № 17, не только предусматривает для ГИС возможность использования удаленного доступа субъектов, но и не разделяет этих субъектов по видам на администраторов с привилегированными правами и пользователей с обычными правами. Это мера УПД.13, обязательная для базового надора мер ГИС всех 3-х классов защищенности. Ее детализация приведена в методическом документе ФСТЭК "Меры защиты информации в ГИС" от 11.02.2014.

2 oko большое спасибо!
2 СМ большое спасибо!

>>Серверное, коммутационное и тд оборудование ГИС расположено в арендованных стойках стороннего ЦОД.

Сложно представить, что в составе ГИС отсутствует клиентское оборудование, например, АРМ пользователей ГИС, АРМ системных администраторов. Наверняка, пользователи и админы удаленно взаимодействуют с ГИС, настроен защищенный канал связи с использованием СКЗИ, есть средство контроля привилегированных пользователей. Т.е. я веду к тому, что странно выглядит вопрос "входит ли в состав ГИС удаленное рабочее место администратора ГИС ?". Конечно входит и для данного рабочего места и для взаимодействия с ГИС должны быть настроены соответствующие СЗИ, в том числе СКЗИ.