Контакты
Подписка
МЕНЮ
Контакты
Подписка

Создание типового сегмента по 17 приказу ФСТЭК - Форум по вопросам информационной безопасности

Создание типового сегмента по 17 приказу ФСТЭК - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Андрей | 109017 08.02.2021 15:10
Коллеги, добрый день.

Добрый день, прошу всех высказать свое мнение о практической реализации п. 17.3 приказа ФСТЭК №17.

Имеется организация, в которой сотня однотипных АРМ, обрабатывающих ДСП информацию. Технология обработки информации одна. Актуальные угрозы - одни. Система защиты информации единая под все эти АРМ.

Интересует аттестация такого кол-ва АРМ, как под типовой сегмент.
Берем 10 АРМ, аттестовываем как типовой сегмент, в ПиМ, заключении, аттестате прописываем все необходимые условия по распространению такого аттестата (согласно п. 17.3 ФСТЭК № 17).

1. Может ли оператор ИС распространять аттестат на остальные АРМ без привлечения лицензиата (соблюдая все условия, описанные лицензиатом)?

2. Насколько я понимаю, возможно же "подключение АРМ к такой системе" без доп.аттестации этого АРМ?

3. Требуется ли написание технического проекта СЗИ под каждый такой АРМ, либо можно сделать все в рамках первичной аттестации?

Надеюсь на ответ тех, кто так уже делал.
Спасибо.

Автор: oko | 109018 08.02.2021 22:56
to Андрей
Если все АРМ типовые (т.е. одинаковый аппаратный состав +- модели мат.платы и BIOS; одинаковый состав ОПО и ППО; одинаковый состав СЗИ; одинаковые технологии и режимы обработки ИОД) + все они входят в ОДНУ информационную систему (или информационную инфраструктуру, обрабатывающую одну и ту же ИОД), то:
1. Аттестация 1 АРМ в качестве типового.
2. Предписание на эксплуатацию (или Условия эксплуатации или иной документ на усмотрение лицензиата) такого АРМ.
3. В Аттестате явно указано, что это АРМ типовое. И что условия Аттестата распространяются на подобные типовые АРМ в составе конкретной ИС и/или ИИ конкретной организации.
Тогда можете добавлять новые АРМ без согласования с лицензиатом, выполняя все условия, приведенные в Предписании и Аттестате. И техпроект может быть изначально разработан для такого типового АРМ (с учетом особенностей и отражения структуры ИС и/или ИИ).
НО
Решает это все лицензиат на свое усмотрение, равно как и сопутствующие условия и ограничения эксплуатации. Ваша возможность заключается только в выборе адекватного лицензиата...

ЗЫ Ж*па будет, когда руководство решит, что неплохо бы часть таких АРМ нагрузить смежными задачами, явно выходящими за пределы техпроекта для типового АРМ и обработки КОНКРЕТНОЙ ИОД. Особенно при масштабах таких АРМ в 100+, ага...

Автор: Андрей | 109019 09.02.2021 13:49
to oko

Добрый день.

Спасибо за информацию, примерно так и думал.

А что думаете насчет:
"Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации."

Получается делается один общий документ, в котором будет определен класс нашего АРМ, на который мы хотим распространить аттестат, актуальные угрозы для этого АРМ, и тд. В вообще все, что будет прописано в аттестационных документов для подтверждения соответствия АРМ типовому сегменту.

Верно же я понимаю?

Каждое такое добавление => новая стопка документов

Автор: oko | 109020 09.02.2021 15:36
to Андрей
Оставьте АРМ в покое. Аттестационные испытания проводятся для всей ИС/ИИ, а выделенный типовой АРМ - это место приложения аттестационных испытаний (т.е. на его базе). Если, конечно, вся ИС состоит из одних только типовых АРМ, что весьма сомнительно...
Алгоритм:
1. Определяете информационную систему или информационную инфраструктуру (если КИИ, в частности). Классифицируете ее по классификаторам, установленным регулятором, отраслевыми стандартами и проч.
2. Разбиваете ИС/ИИ на сегменты с одинаковыми характеристиками обрабатываемой ИОД, технологиями обработки ИОД, типами технических средств (не обязательно равнозначность вплоть до моделей), типами программных средств (желательно вплоть до версий используемого ОПО и ППО), средствами защиты информации (обязательно вплоть до версий).
3. Проверяете, что в каждом сегменте поддерживается единый класс (уровень) защищенности (по принятой классификации вашей ИС/ИИ) и единый вывод по угрозам/нарушителям внутри сегмента. Проверяете, что результирующий класс (уровень) защищенности не ниже классов (уровней) по сегментам. Проверяете, что угрозы/нарушители, актуальные для ИС/ИИ в целом, не противоречат выводам по угрозам/нарушителям для каждого сегмента.
4. Готовите полный комплект документов на всю систему, разделяя или не разделяя его по сегментам (в зависимости от масштабов сегментов и проч. нюансов функционирования ИС/ИИ).
5. Аттестационные испытания проводите для каждого сегмента на базе выбранного ТСС обработки ИОД. Далее решаете с лицензиатом - либо раздельные аттестаты на сегменты по "типовому признаку" описания, либо совокупный аттестат на всю ИС/ИИ с указанием сегментов и того, что аттестация проводилась по "типовой схеме". Тут опять-таки согласно масштабу ИС/ИИ и проч. нюансам функционирования.
6. Лицензиат выдает требования, которые должны выполняться при модернизации сегментов, модернизации ИС/ИИ в целом и при добавлении "типовых" ТСС в состав того или иного сегмента.
7. Вы в процессе эксплуатации выполняете эти требования. При добавлении новых ТСС вносите информацию по ним в форме, согласованной с лицензиатом, в свои эксплуатационные (учетные) документы, а также выполняете все предписанные требования.
8. Периодически (согласно требованиям регулятора к ИС/ИИ) или при модернизации ИС/ИИ проводите повторное моделирование угроз/нарушителей для каждого сегмента раздельно и/или для ИС/ИИ совокупно. Проводите контрольные испытания защищенности с/без привлечения лицензиата (согласно требованиям регулятора к ИС/ИИ).
9. При модернизации системы защиты в одном из сегментов или во всей ИС/ИИ в целом, возвращаетесь к п. 1.

ЗЫ Если же вы про то, как вести учет "типовых" АРМ, то лучше всего в едином Тех.Паспорте на сегмент или на всю ИС/ИИ в целом (в зависимости от количества сегментов, масштаба и проч.). В худшем случае ведется учет не по полной форме Тех.Паспорта, а по упрощенной (типа АРМ с сист.блоком зав.№таким-то оснащен всеми требуемыми ОПО, ППО и СЗИ, размещен согласно требованиям, использует только предписанные технологии обработки ИОД и т.д. - дата и подпись руководителя и ответственных лиц в сегменте ИС/ИИ), но это скорее для случая крайне территориально-распределенной ИС/ИИ (например, куча филиалов в разных городах нашей необъятной, ага). И опять-таки по согласованию с лицензиатом, проводившим аттестационные испытания...

Просмотров темы: 159

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*