Администраторы и пользователи АРМ - Форум по вопросам информационной безопасности

Доброго времени суток! Извините, что запутал, занимаюсь проектом по защите АРМ, оформляю документы. У меня на АРМ работает 1 пользователь, обрабатывающий персональные данные, и есть администратор безопасности, который настраивает ПО, но доступа к ПДн не имеет. Вот снова вопрос, какой класс защиты выбрать, вроде 1 пользователь всего работает с конфиденциалкой, значит 3Б, но есть же ещё администратор, который имеет совершенно другой уровень доступа, и тогда у нас получается многопользовательская АРМ с разными уровнями доступа. Прошу помощи...

to Miraj
Не вопрос. Записывайте:
- сходить на курсы;
- узнать про нормативку по ПДн, уровни защищенности, угрозы, требования и порядок защиты всего этого;
- прекратить к ПДн притягивать РД АС НСД 90х гг., СТР-К и проч.;
- вернуться на форум и задать нормальный вопрос, имеющий отношение не к бессмысленной фантазии, а к реальности.

Для Miraj:

>... и есть администратор безопасности, который настраивает ПО, но доступа к ПДн не имеет.

Если АБ настраивает доступ к ресурсам АРМ, то чем Вы ему ограничиваете доступ к обрабатываемым ПДн? Орг мерами? А они как-то совпадают с техническими мерами, реализуемыми на АРМе?
Если пользователь на момент обработки подключает носитель с недоступными АБ данными и по завершении обработки изымает носитель с ПДн, то при наличии требования "очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей" класс АРМа по РД АС (Гостехкомиссия, 1992) принципиального значения иметь не будет.
А если пользователь хранит на АРМе обрабатываемые им ПДн, к которым АБ не должен иметь доступа, но сам же этот доступ к ним настраивает, то тут, наверное, следует начать с пересмотра полномочий этого АБ по доступу к ПДн. Хотя бумага всё стерпит... Чисто формально приказом ограничить АБ доступ к ПДн и тут же его обязать самому себе настроить в СЗИ запрет на доступ к ним в АРМе. Ну, может такой вариант в конфиденциалке и сойдёт?!...

Коллеги, а ежели Админ ИБ не будет иметь учётку на АРМе. То тогда как он будет готовить документацию закрытую? ТЗ, Приказы, письма и прочее.

2 Станислав
В организации может быть более одного компьютера для обработки защищаемых сведений. Более того, теоретически АБ может работать по договору (от аттестатора, например), или непосредственно бумажная часть работы по ЗИ может быть на руководителе подразделения. Это сугубо организационные моменты. Главное, чтобы АБ был назначен, и имел соответствующие бумажные и реальные полномочия.

*в сторону*
Что за чушь? Разве может быть в доме больше одного телевизора? (с)

"Коллеги, а ежели Админ ИБ не будет иметь учётку на АРМе. То тогда как он будет готовить документацию закрытую?"
Как пользователь с учетной записью пользователя в той же АС со всеми ограничениями пользователя. Админит СЗИ - администратор , проводит производственные работы в АС - пользователь.

Для Станислава:

> Коллеги, а ежели Админ ИБ не будет иметь учётку на АРМе.
Тогда Админ ИБ не будет являться пользователем АРМа со всеми вытекающими.

> То тогда как он будет готовить документацию закрытую? ТЗ, Приказы, письма и прочее.
Как справедливо отметил Практик, разработку документации по ЗИ не обязательно вести на защищаемом АРМе. Для этого может использоваться иной компьютер.

Всем большое спасибо за ответы, коллеги.
to CM.

> Как справедливо отметил Практик, разработку документации по ЗИ не обязательно вести на защищаемом АРМе. Для этого может использоваться иной компьютер.

Документы будут гpuфованные.

Для Станислава:

> Документы будут гpuфованные.
Согласен, что к документации по ЗИ необходимо ограничивать доступ. Но это не было предметом обсуждения. Поддержанная мной мысль Практика о необязательности ведения разработки документации по ЗИ на защищаемом АРМе относилась ведь к конкретному и обсуждаемому в данной верке форума АРМу, а не вообще.
Иначе говоря, разрабатывать документацию по ЗИ для защищаемого АРМа не обязательно использовать этот же самый АРМ. Для этого может использоваться иной АРМ. Понятно, что в случае предъявления требований по обеспечению конфиденциальности к обрабатываемым сведениям в документации, исполнителю необходимо будет проводить разработку на защищенной технике.