Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация ГИС - Форум по вопросам информационной безопасности

Аттестация ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Лука | 90590 30.03.2018 08:56
Люди добрые, подскажите, пожалуйста, малость запутался.

Аттестация ГИС.

Есть сервера, которые физически находятся в ЛВС, но они не обрабатывают какую-либо информацию из ГИС - нужно ли их включать перечень аттестуемого оборудования или можно не включать?

Спасибо.

Автор: oko | 90594 30.03.2018 10:21
to Лука
ВТСС же классические. И тут все зависит от вашей частной модели угроз и *вырезано* желания */вырезано*. Т.е. ТС, в памяти которых не циркулирует защищаемая ИОД, можно, конечно, не рассматривать, но... приведу пример: если между целевым сервером-обработчиком-ИОД настроены доверительные отношения (любого типа) с сервером домена, то стоит, пожалуй, защитить и сервер домена (или саму схему подключения) + его каким-либо способом отразить в документации по ГИС, ага...

Автор: Лука | 90615 31.03.2018 08:05
oko
Спасибо за совет.
Доп вопрос: сервер-шлюз (с установленным СКЗИ VipNET) должен входить в ОТСС или его можно попробовать отправить в ВТСС?


Еще вопросик про аттестацию:
Владельцем ГИС является орган власти. Его подведомтсвенное учреждение работает с этой ГИС.
С я скажу даже больше: де юре - это другое юрлицо, но де факто - это одна физическая и логическая сеть.
Так вот вопрос: Допустимо ли проводить аттестацию (со всем пакетом документов, включая модель угроз) на всю систему, включая присоединённые АРМы подведа владельцем ГИС. Или каждое такое юрлицо обязательно должно само все это организовывать (договора, документация и т.д.)?

Автор: oko | 90620 31.03.2018 10:25
to Лука
Через этот сервер-шлюз "гонят" ИОД (по тем же защищенным каналам ViPNet)? Если да - ОТСС со всеми вытекающими. Если нет, то можно и как ВТСС. Но, поскольку для ГИС обычно ВТСС никто не расписывает детально, отразите его на схемах, укажите как МЭ в перечне компонент системы защиты и дело с концом...
В тему подведа. Уже много раз обсуждалось, но отошлю вас к 17 Приказу: "Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора ..., обеспечивает защиту информации в соответствии с законодательством Российской Федерации ..." Т.е. пусть орган власти официально назначит подведа Оператором ГИС "и летят дальше" (с) в составе единой ГИС, ага...

Автор: Лука | 90622 31.03.2018 13:29
"Т.е. пусть орган власти официально назначит подведа Оператором ГИС "и летят дальше" (с) в составе единой ГИС, ага..."
Вот все таки не понятно - так все таки можно или нет подведомственное учреждение не нагружать этой темой, а все сделать за них (ну, кроме повседневной работы пользователей с системой)?

Автор: oko | 90635 01.04.2018 22:14
to Лука
Впервые встречаю, чтобы госорган не хотел подведа нагружать...
Можно. Права и обязанности всегда определяет владелец ИОД/ГИС (он же "заказчик" по терминологии 17 Приказа). Нехай специалисты владельца ГИС организуют конкретные требования к защите + распишут ОРД, а потом подвед, выступающий в роли оператора, все это будет эксплуатировать. Модуль экстрасенсорики подсказывает, что все равно будут лицензиата со стороны нанимать, чтобы все это реализовать. В таком ключе разница несущественна, ага...

Автор: Лука | 90651 02.04.2018 18:03
oko
Спасибо за консультацию.

А если рассказать про "подведа", то можно сказать только одно: была единая организация. а потому кому-то для чего-то захотелось выделить не госорган (но бюджетную организацию).
Сказали некоторому количеству людей: ты, ты, ты, ты будешь сотрудником этой организации, ты будешь руководителем, а ты глав бухом. А вот ИТ "забыли". В итоге люди, как сидели на тех же рабочих местах, как занимались тем же самым, так и продолжили это делать.
Вот такая вот история.

Автор: Лука | 90652 02.04.2018 18:05
При том даже отдельных помещений нет (ну, кроме кабинета руководит новой организации) - сотрудники сидят за соседними столами, иногда напротив друг друга, но работают в разных ЮЛ.

Просмотров темы: 1871

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*