Контакты
Подписка
МЕНЮ
Контакты
Подписка

Легитимность использованиея open-source шлюза-МЭ в ГБУ - Форум по вопросам информационной безопасности

Легитимность использованиея open-source шлюза-МЭ в ГБУ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Александр, Фриланс | 92046 27.04.2018 04:26
Добрый день, уважаемые специалисты-безопасники! Возник вопрос о законности использования open-source ПО pfsense (естественно не сертифицированного) в качестве маршрутизатора-шлюза-МЭ в государственном бюджетном учреждении. Учреждение оказывает государственные услуги, которые подразумевают предоставление персональных данных 3 категории (Ф.И.О.) заказчика. Никакой ГТ и близко нет. Судя по найденной на сайте ФСТЭК информации и нормативке, сертификация МЭ необходима только при работе с ГТ. pfsense планируется к использованию в качестве virtual appliance, соответственно можно считать программно-аппаратным комплексом. Также немного в тупике по вопросу использования ОС на рабочих машинах - используемые Windows 7 и 10 также не обнаружил в реестре сертифицированных средств, однако де-факто создавая документы, содержащие ПД, средствами ms windows, либо ms office, согласно реестра сертифицированным только на соответстветствие ТУ, получается нарушаем закон? Был бы очень рад услышать разъяснения по данным вопросам. Спасибо.

Автор: oko | 92052 27.04.2018 10:24
*в сторону*
На колу мочало - начинай сначала...

to Александр
1. Неправильно читали сайт ФСТЭК. Позиция регулятора проста: какой-то функционал в вашей ИС вы считаете компонентом системы защиты? Будьте любезны показать на него сертификат...
2. Вывернуться можно, если правильно составить Модель угроз. Как? Поиск по форуму, личная практика и общение с регулятором в помощь...
3. Сертификация требуется не для всего ОПО/ППО/СПО, а только для защитных механизмов. Сиречь, правильно проектируйте свою систему защиты, чтобы ключевые точки, которые должны выполнять требования Приказа21-ФСТЭК и ПП-1119, имели сертификат соответствия...

В вашей ситуации, доказывайте тестовыми испытаниями (приложением к Модели угроз, например), что установленный pfsence с действующими правилами фильтрации нейтрализует угрозы межсетевого НСД на корню. А лучше пен-тест закажите, чтобы можно было "чужой бумажкой" прикрыться. Одна проблема - виртуальная структура - тут уже танцы совершенно другого рода...

ЗЫ И не слушайте лиц, кричащих, что в ИСПДн возможно обойтись вообще без применения сертифицированных СЗИ (кроме, пожалуй, случая глобального пен-теста, что по цене и трудозатратам выходит примерно одинаково). Эти лица либо "пролетали мимо" проверок регулятора (пока), либо у них очень хорошо смазаны соответствующие колеса в своем регионе...

Автор: Dfg | 92147 29.04.2018 09:45
21 приказ - оценка соответствия . Дальше нюансы с ндв и уровнями защищённости .

https://4.bp.blogspot.com/-LNFQ4SmhQfA/WosESWtU3ZI/AAAAAAAAIhY/EmTRnLwqFqgdZ8M_Z0lPBJEGrBIidjN4wCLcBGAs/s1600/Screen%2BShot%2B2018-02-19%2Bat%2B20.05.13.png

Автор: Александр, Фриланс | 92196 01.05.2018 01:12
А если исключить вопрос хранения и обработки ПД из ИС, использовать ее чисто как внутреннюю хранилку файлов, сервисов и пр.? Требуется ли тогда сертифицировать либо иными способами приводить в соответствие с требованиями ФСТЭК?

Автор: С, С | 92197 01.05.2018 04:36
> А если ИСКЛЮЧИТЬ вопрос ХРАНЕНИЯ и обработки ПД из ИС, ИСПОЛЬЗОВАТЬ ее чисто как внутреннюю ХРАНИЛКУ файлов...

Уже само себе противоречие в техпроцессе.

Автор: Александр, Фриланс | 92198 01.05.2018 08:19
Согласен, звучит двояко. Но если данные не представляют какой-либо ценности кроме коммерческой и не требуют особого обращения/хранения согласно законодательства?

Автор: Александр, Фриланс | 92201 01.05.2018 08:53
Согласен, звучит двояко. Но если данные не представляют какой-либо ценности кроме коммерческой и не требуют особого обращения/хранения согласно законодательства?

Автор: C, C | 92202 01.05.2018 08:56
Если законодательство на Вас не налагает никаких обязательств, тогда может последовать старому совету: "Не стоит искать черную кошку в тёмном помещении. Особенно, когда там ее нет"?

Автор: Dfg | 92214 01.05.2018 20:29
//Но если данные не представляют какой-либо ценности//

**Один мальчик решил обеспечить безопасность компании. Посчитал активы, обосновал риски, вывел KPI, нарисовал красивую презентацию, убедил начальника, выбил бюджет, закупил лицензий, и даже нашел подрядчиков… Но вдруг его уволили. Потому что гендиректор потерял в бане свой iPhone с конфиденциальной перепиской.**


Просмотров темы: 4057

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*