Контакты
Подписка
МЕНЮ
Контакты
Подписка

Зачем аттестовывать сеть передачи данных? - Форум по вопросам информационной безопасности

Зачем аттестовывать сеть передачи данных? - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: defgw, Оператор связи | 108884 21.11.2020 20:18
У Ростелекома есть аттестат соответствия сети передачи данных под ГИС, ИСПДН и АС.

https://www.company.rt.ru/about/lic_and_cert/certification/files/Аттестат_IP_MPLS_Ростелеком.pdf

Поясните, как сеть передачи данных оператора может быть аттестована под эти требования и зачем вообще это надо (где логика, а не то, что эти требования суют в закупки)? Особенно под АС.

Также очень интересно, что при аттестации указываются адреса расположения (что логично), но сеть Любого оператора постоянно развивается добавляются новые узлы. Это что, значит, часть сети аттестована, а часть нет? Значит две сети и между ними настроено межсетевое взаимодействие?

Автор: oko | 108885 21.11.2020 22:56
*в сторону*
Нет там логики... Начиная с торгового дома в качестве лицензиата ТЗКИ, заканчивая запретом изменения состава программно-технических средств и СЗИ согласно выданному Аттестату...
Это все уже обсуждалось на форуме. Есть, конечно, варианты, при которых и сеть MPLS имеется, и Аттестат не нарушается, но... надо проводить экспертизу с полным доступом к этой сети и к выданному комплекту документов. Эдак и лису можно поймать за хвост, ага...

Автор: Dfg | 108886 22.11.2020 08:13
Ну так ЦОДы коммерческие аттестуют, может и до облаков уже добрались. А тут на сеть бумажку нарисовали. При желании можно аттестат распространять на "типовой узел" по аналогии с 17 приказом в случае роста сети.

Автор: defgw | 108887 22.11.2020 13:37
ЦОДы аттестовывают не как АС. Кроме того ЦОД не меняет расположение, он компактен. А сеть оператора постоянно меняется, добавляются узлы. Как такое может быть аттестовано под АС?

Автор: oko | 108888 22.11.2020 21:48
to defgw
*пил чай и подавился* Извиняюсь, а как тогда проходит аттестация ЦОД? По требованиям, предъявляемым к "защищаемым помещениям"?

to Dfg
С типовухой в контексте означенной сети MPLS забавно выходит. Положим, разрешено юзать схожий по функционалу и прошивке набор ПАК, коммутаторов, серверов и прочей требухи. Положим, можно юзать софт, включая программные СЗИ, одной линейки и одного функционала. Положим, также, что конфигурации используемых программных и аппаратных средств не должны в корне меняться. НО! Это не согласуется с положениями приведенного Аттестата соответствия ни в части указания на типовуху (чего, собственно, нет), ни разрешения приведенных изменений (слишком шаблонные фразы ограничений), ни их размещения (перечень-то помещений вроде как явно указан в приложениях к Аттестату)...
Указать бы "типовой принцип" явно + написать, что ограничения эксплуатации и его распространения на "типовые сегменты" приведены в каком-нибудь "Предписании на эксплуатацию" + указать перечень явных ограничений, при которых Аттестат аннулируется или необходимо связаться с лицензиатом - был бы другой коленкор...

Автор: oko | 108889 22.11.2020 21:57
*на закуску*
Зачем вообще выдавать Аттестат соответствия по ГИС К1 (нихрена себе класс защищенности - all inclusive, ага) и одновременно с этим по АС класса 1Г? Модуль экстрасенсорики подсказывает, чтобы целенаправленно "уменьшить" срок действия Аттестата соответствия с 5 до 3 лет (напомню, Аттестат от 2018 г., но 15.02.2017 Приказом ФСТЭК N27 были изменены условия Приказа N17 по ГИС - срок аттестата расширился до 5 лет). Конечно, лицензиат при выдаче Аттестата в своем праве, но...
Ждем аттестации в 2021 г. - не удивлюсь, что при условии бессрочности согласно текущей редакции Приказа N17 по ГИС, новый Аттестат будет выдан также на 3 года. Ничего личного, только бизнес, ага...

ЗЫ Ерунду типа "этой сетью будут пользоваться и коммерсы, которым Приказ N17 по ГИС не указ" предлагаю тоже печатать в приложениях к подобным Аттестатам...

Автор: Dfg | 108890 23.11.2020 07:29
to oko

Ещё можно можно сделать лёгкое движение руки и очертить границу объекта. Сказать, что аттестат подразумевал только "ядро сети". Остальные кусочки по отдельным аттестатам. Просто их не показали на сайте. Для пиару достаточно и одно скана.

Автор: sekira | 108901 26.11.2020 07:37
to oko (приказом ФСТЭК N27 были изменены условия Приказа N17 по ГИС - срок аттестата расширился до 5 лет)

пр.17 п.17.4. Аттестат соответствия выдается на весь срок эксплуатации информационной системы.

Автор: oko | 108902 26.11.2020 09:27
to sekira
Не дочитали, товарищ. В следующем абзаце говорил про бессрочность (или срок эксплуатации ГИС, что суть одно и то же в означенном контексте)...
Аттестат-то был выдан в 2018 г., а тогда (согласно редакции от 15.02.2017) действовало ограничение на 5 лет. Бессрочность - это уже веяние редакции Приказа №17 ФСТЭК России за 2019 г.

to Dfg
В случае с "ядром сети" грош цена такому Аттестату, imho. Количество непокрытых угроз и векторов атак нарушителя без рассмотрения оконечки абонентов (пусть даже в типовом варианте развертывания и подключения) и обвязки, прилагающейся к "ядру" - просто зашкаливает...

Просмотров темы: 434

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*