Автор: Евгений | 94426 | 08.06.2018 10:25 |
Здравствуйте. Подскажите пожалуйста, у нас в организации 4 уровень защищенности ИСПДн, потребовалась аттестация рабочих мест и фирма которая будет аттестовывать указала в коммерческом предложении дополнительное ПО: DALLAS LOCK и VipNet. ОС у нас windows 7 и судя по тому что она аттестована ФСТЭКом она удовлетворяет требования для 4 уровня защищенности
|
Автор: Artem, CRB | 94427 | 08.06.2018 10:39 |
DALLAS LOCK и VipNet
это доп. ПО от него можно отказаться, ваше право |
Автор: Евгений | 94428 | 08.06.2018 11:03 |
Artem, получается windows 7 sp1 достаточно для 4 уровня защищенности?
|
Автор: Alex_kl | 94431 | 08.06.2018 11:33 |
Евгений, а у вас дистрибутив Win 7 в сертифицированном варианте? С формуляром, защитными голографическими наклейками и пр.? Если нет, то для выполнения требований надо ставить доп. ПО защиты информации от НСД (тот самый Dallas Lock, ну или их конкурентов). VipNet - это вообще отдельная песня - он защищает каналы связи, нужен, если Ваши линии связи проходят вне контролируемой зоны Вашей организации. Windows, даже сертифицированный, эту задачу не решает.
|
Автор: oko | 94440 | 08.06.2018 15:16 |
Начнем с того, что для У4 ИСПДн можно и без навесных СЗИ обойтись. Даже без ViPNet в случае передачи ПДн по открытым каналам связи. Но это вопрос моделирования угроз, обоснования, техпроектирования и проч.
В простом случае: 1. Если именно ваша Win7, установленная конкретно у вас, прошла сертификацию по линии ФСТЭК (например, закуплена была у Axsoft, на руках имеются паспорт-формуляры и проверенные дистрибутивы со спец.защ.знаком), то можно, в принципе, обойтись без DallasLock (+1 к тов. Alex_kl). Хотя, тут надо смотреть по конкретике работы вашей ИС в любом случае. 2. Если вы передаете ПДн в сторонние организации по открытым каналам связи (читай, через сеть Интернет и т.п.) + в защищенные ИС гос.органов, использующих ViPNet, то вам также придется использовать ViPNet. В других случаях можно, опять-таки, исходя из конкретики эксплуатации вашей ИС, решить вопрос либо без ViPNet, либо за счет аналогичных сертифицированных продуктов (СКЗИ). И да, еще раз: - сертификация - удостоверение, что программное обеспечение или программно-аппаратные комплексы соответствуют каким-либо конкретным стандартам безопасности, и могут использоваться в ИС определенного класса/уровня защищенности; - аттестация - удостоверение, что вся совокупность мер защиты информации, принятых в ИС, соответствуют требованиям безопасности, установленным под конкретный класс/уровень защищенности ИС. |
Просмотров темы: 1686