Контакты
Подписка
МЕНЮ
Контакты
Подписка

Система управления доступом в СЭД. - Форум по вопросам информационной безопасности

Система управления доступом в СЭД. - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Вячеслав, Бюджет | 105630 25.01.2019 14:50
Доброго времени суток!
Прошу прощения если не умею пользоваться поиском, но ответа не нашел.
Дано:
Система документооборота(СЭД, 1С...) с 2 базами данных - "секретная" и "служебная". Обрабатываются только ПДн(без ГТ, уж не придирайтесь к названию).
СЭД позволяет разграничить права пользователей. Т.е. пользователь А имеет доступ в об базы, а пользователь Б, только к базе "служебная".
А вопрос вот какой:
Может ли рассматриваться система разграничения доступа документооборота как выполнение требования УПД.2(Реализация необходимых методов и правил разграничения доступа) Приказа №21 ФСТЭК? Или для выполнения в данном случае разделять доступ можно только сертифицированными средствами?

Автор: oko | 105631 25.01.2019 17:05
to Вячеслав
Решаете через Модель угроз. Для ИСПДн явного требования перекрывать все чисто сертиф.средствами нет. Протестируйте устойчивость такой схемы разграничения доступа. Если посчитаете, что для ИСПДн вашего уровня защищенности и для актуальных нарушителей такая схема является достаточной - убираете вопросы угроз за счет обхода системы разграничения прав доступа из актуальных и позже ссылаетесь на это при анализе защищенности ИСПДн...
Либо пригласите экспертную организацию-лицензиата ФСТЭК - пусть они протестируют и выдадут рекомендации / решения (заодно помогут найти "забытых" юзеров, владеющих административными правами доступа к базе, ага)...
Либо пообщайтесь с компанией 1С на предмет их ЗПК. Не знаю, насколько он применим к Документообороту, но, являясь "сертифицированной заплаткой" сразу снимает все вопросы к стойкости тех или иных защитных механизмов. Только опасное это дело, внедрять ЗПК в не типовых конфигурациях 1С (коих, как показывает практика, каждая вторая, ага)...

Автор: Dfg | 105632 25.01.2019 21:25
Можно протестировать систему разграничения доступа (нсд) 1с в форме испытаний и ввода в эксплуатацию. Делаете методику испытаний, проводите по ней испытания, выпускаете Акт.
Так вы покажете себе и проверющим (кто это 2й вопрос) что разграничение действительно работает.

Просмотров темы: 220

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*