Контакты
Подписка
МЕНЮ
Контакты
Подписка

Требования к ИС - Форум по вопросам информационной безопасности

Требования к ИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Александр | 104972 30.11.2018 14:23
Добрый день, уважаемые коллеги! Заранее извиняюсь за тупые вопросы :-)
Пытаемся привести свою информационную систему в соответствие с законодательством, но не получается получить достоверные ответы на возникшие вопросы.
1. Требования законодательства к защите персональных данных требуют наличие обособленных информационных систем (в нашем случае - ЛВС) для сотрудников, обрабатывающих ПДН, которыми в моём случае являются бухгалтерия и кадры. Учреждением был приобретён ПАК VipNet координатор HW1000 (основная задача которого - подключение к ресурсам ЕЗСПДН местного правительства). Также указанная железка является сертифицированным межсетевым экраном. Так вот возникает вопрос - если я ставлю ПАК VipNet координатор HW1000 перед входом в локальную сеть, т.е. в 1 порт включаю канал провайдера, во 2й порт включаю неуправляемый коммутатор, к которому подключены компьютеры бухгалтерии и кадров (при этом ПАК VipNet координатор HW1000 также будет использоваться в качестве DHCP сервера, маршрутизация разрешается только внутри их локалки и выход в интернет опять же посредством ПАК), в 3й порт включаю оборудование для подключения остальной сети - L3 коммутатор D-link (сотрудники в остальной сети не осуществляют обработку персональных данных, только работают с конфиденциальной информацией, не составляющей гостайну - в нашем случае коммерческой тайной).
Требуется ли в таком случае установка отдельных сертифицированных программ (или железок)-межсетевых экранов на ПК бухгалтерии и кадров?
При подключении остальной сети к координатору планируется использование стороннего аппаратного или программного продукта для обеспечения маршрутизации внутри сети, требуется ли использование сертифицированного ПО или железки-маршрутизатора либо L3-свитча?
Есть ли требования к ЛВС, персональным компьютерам, программам на рабочих местах сотрудников, получающих посредством координатора доступ к ресурсам защищённой сети Правительства? Сразу оговорюсь, что госуслуг никаких не предоставляем, но являемся оператором системы, которую местный компетентный орган упрятал в свою защищённую сеть (на его площадках размещены сервера).

Автор: Константин | 104986 01.12.2018 07:29
1. Где такое требование указано об обособленных ИС?
2. Ваши ПДн идут по 21 приказу фстэк. Рассматриваете угрозы, признаёте неактуальными. Можете не использовать сертифицированные средства.
3. Требования к Лвс и тд при подключении в сети правительства, кроме того что вы должны использовать vipnet я уверен нет. Вы же его не просто так купили, а скорее всего так указано в каких-то документах о подключении к ЕЗСПДН. Но если хотите опять же можете поискать эти документы и посмотреть в них.

Автор: Александр | 104992 01.12.2018 20:18
Есть вобщем местный регламент главного управления информатизации и связи, в мотивировочной части принят для исполнения: Федерального закона Российской Федерации от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» на основании:
- Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федерального закона от 27.07. 2006 № 152-ФЗ «О персональных данных»;
- Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Приказа Министерства связи и массовых коммуникаций Российской Федерации от
23.06.2015 № 210 «Об утверждении технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия»;
- Приказа Федеральной службы по техническому и экспортному контролю России от 11.02.2013 № 17 «Об утверждении Требований о защите информации не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Постановления Правительства Севастополя от 21.12.2015 № 1242-ПП «О создании региональной защищенной телекоммуникационной сети передачи данных».

Этот регламент описывает порядок взаимодействия с местным ГУИС с целью получения ключевых файлов для координатора либо для использования с персональными vipnet client. В него входит подготовка заявки с обоснованием, настройками, требуемыми ресурсами и матрицей доступа к ним, а также что ответственный в нашем учреждении совместно с их представителем проверяют работу ключей и соединения с требуемыми ресурсами, затем подписывается акт приемки и ввода в эксплуатацию. Также регламент предписывает осуществить опечатывание либо пломбирование СКЗИ (координатор либо ПК с установленным ПО VipNet Client). Иных особых требований нет, но я так предполагаю, что по регламенту по умолчанию предполагается, что в нашей ИС всё соответствует нормам законодательства. Или я что-то не так понимаю?

Автор: oko | 105009 02.12.2018 16:05
to Константин
<Рассматриваете угрозы, признаёте неактуальными. Можете не использовать сертифицированные средства> - стыдно так категорично заявлять, товарищ, - топикстартер может невесть что подумать, ага...

to Александр
Primo, на ViPNet есть формуляр, который требует доп. мер по факту СКЗИ самого по себе. И для HW, и для Client. Обратитесь туда...
Secundo, ставить МЭ/СКЗИ на АРМ или не ставить, если в сети есть HW, - дело рук вашей модели нарушителя + уровня защищенности ИСПДн. Читайте 21 Приказ, оценивайте нарушителя, возможности, каналы утечки, УБИ и проч. Выносите вердикт. Модуль экстрасенсорики подсказывает, что для вашей схемы связи (1 link - ISP, 2 link - ИСПДн, 3 link - остальная ЛВС) можно МЭ/СКЗИ на АРМ в ИСПДн пренебречь. Ежели линии связи "Координатор - ИСПДн" не проложены хз как, хз где, хз кем обслуживаются и хз с чем пересекаются...
Tertio, на АРМ в ИСПДн даже хостовые МЭ/СКЗИ решают только часть задач. Остальное опять-таки на откуп вашим Моделям и обязательным (минимум) требованиям 21 Приказа. Будет у вас У1 какой-нибудь (в бухгалтерии вряд ли, но всякое бывает) - придется и СДЗ лепить, и контроль устройств прикручивать, и проч., ага...

Автор: Константин | 105035 03.12.2018 10:12
2 Александр
У нас примерно такая же система у Правительства, только СКЗИ другое и мы его не закупаем,а нам его выдают. Требований дополнительных не выдвигается для нашего Учреждения. Недавно и проверка приходила из соотв. Комитета. В учреждении нет сертифицированных средств, главное чтобы документы были необходимые ну и доступа в интернет чтобы не было с машин бухгалтерии.

2 oko
В чем стыд?! Логика! Законодательству не противоречу, нет. Значит говорю правду.

Автор: Константин | 105040 03.12.2018 11:40
2 Александр

Только такой вопрос у меня возник. У вас говорите система в закрытом сегменте оператором которой вы являетесь. А админит ее кто? Вы или тот же компетентный орган?

Автор: Александр | 105043 03.12.2018 13:01
2 Константин
На самом деле администратором системы по бумагам является Департамент архитектуры, но они как раз находятся в стадии подписания соглашения с местным ГУИС, которое как раз регламентирует размещение серверов с системой, а также обеспечение её доступности, и собственно функции администрирования серверов, на которых она крутится, возлагается на ГУИС.
Было бы интересно с Вами пообщаться по обмену опытом, а то получается в нашем субъекте никто, кроме ГУИС, так и не добился соотвествия ИС законодательству о защите информации, перенимать опыт не у кого, а в ГУИСе собственно только 1 человек в этом что-то понимает, которого руководство всячески оберегает от внешних контактов)

Автор: Константин | 105050 03.12.2018 18:43
2 Александр
Без проблем, оставляйте удобный для общения контакт!

Просмотров темы: 1776

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*