Автор: Dfg | 94151 | 03.06.2018 12:31 |
To oko
"ЗЗЫ И еще. Если вы весь комплекс мероприятий по ПП РФ 1119 и Приказу 21 выполняете самостоятельно без привлечения лицензиата, то и ПиМ, и Протоколы имеете право оформить самостоятельно в стиле "я художник - я так вижу" (с)" Ну и правильно, хоть тут гибкость составили. Только жестко фиксированных форм из прошлого века не хватало. Вся проблема в том для кого эти документы пишут. А в большинстве случаев эти документы никому кроме проверяющий не нужны. Эта толстая пачка пылится в чулане и в реальной работе не используется. У меня реальная модель угроз в базе сканера уязвимостей с соотвестующими кейсами закрытия, принятия или переноса, актуальная модель доступа в системе idm. Сажать человека, который будет долбить целыми днями бумагу отображая постоянные изменения в системах. Какое то не рациональное использование человеческих ресурсов в век автоматизации. "Это бизнес, который est business. И в него так просто никто никого не пускает. Как и в любой бизнес, начиная с клепания разнородных мессенджеров (особенно, охаянных особистами, ага) и заканчивая ежегодном изменением дизайна раскрученных брендов (с повально платным софтом, ага)..." Кстати пользуясь случаем даю наводку на чатики телеги для всех желающих пообщаться вне форума в профильной тусовке. @RuScadaSec - защита асутп @KII187FZ - защита КИИ @phd_soc - сок, сием и прочий тренд. @astralinux - наше светлое импортозамещаемое будушее . |
Автор: Мимопроходящий | 94249 | 05.06.2018 14:22 |
to oko
вашу позицию по поводу применения 17 Приказа я понял. Тогда еще вот такой вопрос, если позволите. Имеется ли понятие мобильного ОИ и как с ним быть в разрезе 17 Приказа? |
Автор: oko | 94259 | 05.06.2018 22:48 |
to Мимопроходящий
А 17 Приказу без разницы, imho. Хоть стационарные, хоть портативные (которые ноутбуки), хоть мобильные (которые смартфоны, ага), хоть чертова нога... Есть пункты ЗТС (и прочие пункты в зависимости от технологии доступа к ИОД) под конкретный класс защищенности ИС. Есть возможность "компенсирующих мер" через Модель угроз. Правильно построить систему защиты, не нарушая ни логики, ни требований 17 Приказа, можно... Если конкретизируете, что-то более детальное скажу. Пока несколько не понимаю сути вопроса, если честно... |
Автор: Мимопроходящий | 94286 | 06.06.2018 15:43 |
to oko
специализируюсь больше по ГТ, поэтому с конфой пока на ВЫ... В подразделении хотят создать мобильный ОИ с пометкой "для служебного пользования", а именно ноутбук, с которым будут ездить по районам и готовить справки. Есть два варианта развития событий: либо сказать, что такое невозможно (читай слишком сложно), либо просто создать. Если говорить про ГТ, то в СТР такой понятия как мобильный ОИ не было, 025 это понятие "ввел" и "говорит" как привести такой объект в соответствие. |
Автор: oko | 94302 | 06.06.2018 18:47 |
to Мимопроходящий
Смотрите, 17 Приказ - это не набор "можно/нельзя" как в ГТ. В 17 Приказе изложены только "базисы", а конкретику вы разрабатываете и устанавливаете для каждой ИС самостоятельно (на основе оценки актуальности угроз, возможностей нарушителей, исходя из экономических/функциональных соображений и ограничений и т.д.). Можете использовать и "усиления" по "базисам" (см. методичку "Меры защиты информации в ГИС" 2014, сайт ФСТЭК). Но эти усиления также должны быть, во-первых, нужны конкретно вам и в конкретной ИС, во-вторых, обоснованы техпроцессом обработки информации и актуальными угрозами в конкретной ИС... Например, необходимость УПД.6 при обычной парольной защите. В "базисе" количество попыток авторизации должно быть конечным и зависит от ИАФ.4. Но там есть только минимум (от 3 до 10 неуспешных попыток), максимум вы выбираете самостоятельно. При "усилении" уже появляется конкретика: автоматическая блокировка операционной среды, извещение администратора, затирание ИАФ-информации, использование CAPTCHA и т.д. Но опять-таки, вас никто не заставляет выбрать именно тот путь реализации, который не подходит для вашей ИС... Аналогично с применением ТС = ноутбук, т.е. без привязки к месту размещения. Ориентируясь на класс защищенности, функционал рабочего места, угрозы безопасности, актуальные для этого ноутбука (аппаратная часть, программная часть, каналы связи, места возможного размещения, персонал и т.д.), вы можете разработать свою политику, свои требования. Главное, чтобы они не противоречили "базису" 17 Приказа под этот установленный класс защищенности ИС. Вплоть до "перевозить только в мет.кейсе, пристегнутом наручниками к охраннику, вооруженному АК-47; работать только в маск-палатке в поле, где на расстоянии 2 км. во все стороны отсутствуют посторонние строения, транспорт, люди, искусственные спутники и т.д."... Короче, несколько более творческий подход по сравнению с СТР-К + РД АС НСД. Тем оно и приятнее, и перспективнее. Хотя по-началу сложно перестроиться после догматов системы ЗГТ, ага... |
Просмотров темы: 5879