Вопрос по требованиям АС 1Г - Форум по вопросам информационной безопасности
Вопрос по требованиям АС 1Г - Форум по вопросам информационной безопасности
| Автор: Евгений | 111189 | 19.11.2023 13:54 |
|
Уважаемые коллеги, добрый день!
Мне поступила задача по аудиту нашего небольшого самописного ПО на предмет соответствия требованиям АС 1Г (ПО отвечает за подсистему АС, аттестованной по 1Г). ПО представляет из себя веб-сервер и БД. Клиент подключается через браузер. Соответственно я немного не понимаю суть требования "Идентификация защищаемых информационных ресурсов по именам". В данном случае о каких ресурсах может идти речь? Сам веб-сервер и БД? Или это некие модули с контентом и информацией внутри ПО - страницы сайта, которые крутятся на веб-сервере ПО? |
|
| Автор: oko | 111190 | 19.11.2023 23:34 |
|
*в сторону*
Отобрать бы у тех, кто ставит задачи подобного характера без предварительных разъяснений "плавающим" исполнителям, права и инструменты по постановке задач и контролю их исполнения в принципе... |
|
| Автор: Евгений | 111191 | 20.11.2023 07:49 |
|
Дело не всегда в постановке задач.
В моём случае издержки очень маленькой компании. Где админ за всех, включая ИБ.. По теме вроде бы разобрался сам за выходные. Однако ещё плаваю в помании "программного средства" (следующее требование). Знакомился с описанием на ГОСТах, но по ним мало вижу отличия от "программного обеспечения".. |
|
| Автор: oko | 111194 | 20.11.2023 16:49 |
|
to Евгений
Вот нехай админ админит, а контора нанимает профессионала для аудита того, в чем админу разбираться не с руки... АС - это не только и не столько софт (и в вашем случае ПС == ПО, просто ПО=[прошивки, ОПО, ППО, ПО СЗИ и т.д.]). И упомянутые требования РД АС НСД предъявляются к АС в целом и могут быть выполнены как встроенным софтом, так и навесным, орг.мерами, специальными отдельными программно-аппаратными комплексами и т.п. АС - это высокоуровневое понятие... И зачем АС 1Г? Если хотите податься в лицензиаты, то надо однозначно начинать со знания матчасти. Если же защита комм.тайны внутри конторы, то в духе времени давно пора применять 17 Приказ ФСТЭК (который для ГИС) с перекладкой на свои реалии. Более комплексно, продуктивно и понятно будет... |
|
| Автор: Денис | 111201 | 25.11.2023 02:24 |
|
to oko.
Для лицензирования, кстати, К3 по 17 приказу тоже уже проходит. |
|
| Автор: oko | 111204 | 26.11.2023 20:36 |
|
to Денис
Любопытно. Это на словах или изменения в Положение и/или Перечни требований к лицензированию ТЗКИ уже внесли? Беглым поиском не нашел... |
|
Просмотров темы: 291
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"