Контакты
Подписка
МЕНЮ
Контакты
Подписка

Создание типового сегмента по 17 приказу ФСТЭК - Форум по вопросам информационной безопасности

Создание типового сегмента по 17 приказу ФСТЭК - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Андрей | 109017 08.02.2021 15:10
Коллеги, добрый день.

Добрый день, прошу всех высказать свое мнение о практической реализации п. 17.3 приказа ФСТЭК №17.

Имеется организация, в которой сотня однотипных АРМ, обрабатывающих ДСП информацию. Технология обработки информации одна. Актуальные угрозы - одни. Система защиты информации единая под все эти АРМ.

Интересует аттестация такого кол-ва АРМ, как под типовой сегмент.
Берем 10 АРМ, аттестовываем как типовой сегмент, в ПиМ, заключении, аттестате прописываем все необходимые условия по распространению такого аттестата (согласно п. 17.3 ФСТЭК № 17).

1. Может ли оператор ИС распространять аттестат на остальные АРМ без привлечения лицензиата (соблюдая все условия, описанные лицензиатом)?

2. Насколько я понимаю, возможно же "подключение АРМ к такой системе" без доп.аттестации этого АРМ?

3. Требуется ли написание технического проекта СЗИ под каждый такой АРМ, либо можно сделать все в рамках первичной аттестации?

Надеюсь на ответ тех, кто так уже делал.
Спасибо.

Автор: oko | 109018 08.02.2021 22:56
to Андрей
Если все АРМ типовые (т.е. одинаковый аппаратный состав +- модели мат.платы и BIOS; одинаковый состав ОПО и ППО; одинаковый состав СЗИ; одинаковые технологии и режимы обработки ИОД) + все они входят в ОДНУ информационную систему (или информационную инфраструктуру, обрабатывающую одну и ту же ИОД), то:
1. Аттестация 1 АРМ в качестве типового.
2. Предписание на эксплуатацию (или Условия эксплуатации или иной документ на усмотрение лицензиата) такого АРМ.
3. В Аттестате явно указано, что это АРМ типовое. И что условия Аттестата распространяются на подобные типовые АРМ в составе конкретной ИС и/или ИИ конкретной организации.
Тогда можете добавлять новые АРМ без согласования с лицензиатом, выполняя все условия, приведенные в Предписании и Аттестате. И техпроект может быть изначально разработан для такого типового АРМ (с учетом особенностей и отражения структуры ИС и/или ИИ).
НО
Решает это все лицензиат на свое усмотрение, равно как и сопутствующие условия и ограничения эксплуатации. Ваша возможность заключается только в выборе адекватного лицензиата...

ЗЫ Ж*па будет, когда руководство решит, что неплохо бы часть таких АРМ нагрузить смежными задачами, явно выходящими за пределы техпроекта для типового АРМ и обработки КОНКРЕТНОЙ ИОД. Особенно при масштабах таких АРМ в 100+, ага...

Автор: Андрей | 109019 09.02.2021 13:49
to oko

Добрый день.

Спасибо за информацию, примерно так и думал.

А что думаете насчет:
"Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации."

Получается делается один общий документ, в котором будет определен класс нашего АРМ, на который мы хотим распространить аттестат, актуальные угрозы для этого АРМ, и тд. В вообще все, что будет прописано в аттестационных документов для подтверждения соответствия АРМ типовому сегменту.

Верно же я понимаю?

Каждое такое добавление => новая стопка документов

Автор: oko | 109020 09.02.2021 15:36
to Андрей
Оставьте АРМ в покое. Аттестационные испытания проводятся для всей ИС/ИИ, а выделенный типовой АРМ - это место приложения аттестационных испытаний (т.е. на его базе). Если, конечно, вся ИС состоит из одних только типовых АРМ, что весьма сомнительно...
Алгоритм:
1. Определяете информационную систему или информационную инфраструктуру (если КИИ, в частности). Классифицируете ее по классификаторам, установленным регулятором, отраслевыми стандартами и проч.
2. Разбиваете ИС/ИИ на сегменты с одинаковыми характеристиками обрабатываемой ИОД, технологиями обработки ИОД, типами технических средств (не обязательно равнозначность вплоть до моделей), типами программных средств (желательно вплоть до версий используемого ОПО и ППО), средствами защиты информации (обязательно вплоть до версий).
3. Проверяете, что в каждом сегменте поддерживается единый класс (уровень) защищенности (по принятой классификации вашей ИС/ИИ) и единый вывод по угрозам/нарушителям внутри сегмента. Проверяете, что результирующий класс (уровень) защищенности не ниже классов (уровней) по сегментам. Проверяете, что угрозы/нарушители, актуальные для ИС/ИИ в целом, не противоречат выводам по угрозам/нарушителям для каждого сегмента.
4. Готовите полный комплект документов на всю систему, разделяя или не разделяя его по сегментам (в зависимости от масштабов сегментов и проч. нюансов функционирования ИС/ИИ).
5. Аттестационные испытания проводите для каждого сегмента на базе выбранного ТСС обработки ИОД. Далее решаете с лицензиатом - либо раздельные аттестаты на сегменты по "типовому признаку" описания, либо совокупный аттестат на всю ИС/ИИ с указанием сегментов и того, что аттестация проводилась по "типовой схеме". Тут опять-таки согласно масштабу ИС/ИИ и проч. нюансам функционирования.
6. Лицензиат выдает требования, которые должны выполняться при модернизации сегментов, модернизации ИС/ИИ в целом и при добавлении "типовых" ТСС в состав того или иного сегмента.
7. Вы в процессе эксплуатации выполняете эти требования. При добавлении новых ТСС вносите информацию по ним в форме, согласованной с лицензиатом, в свои эксплуатационные (учетные) документы, а также выполняете все предписанные требования.
8. Периодически (согласно требованиям регулятора к ИС/ИИ) или при модернизации ИС/ИИ проводите повторное моделирование угроз/нарушителей для каждого сегмента раздельно и/или для ИС/ИИ совокупно. Проводите контрольные испытания защищенности с/без привлечения лицензиата (согласно требованиям регулятора к ИС/ИИ).
9. При модернизации системы защиты в одном из сегментов или во всей ИС/ИИ в целом, возвращаетесь к п. 1.

ЗЫ Если же вы про то, как вести учет "типовых" АРМ, то лучше всего в едином Тех.Паспорте на сегмент или на всю ИС/ИИ в целом (в зависимости от количества сегментов, масштаба и проч.). В худшем случае ведется учет не по полной форме Тех.Паспорта, а по упрощенной (типа АРМ с сист.блоком зав.№таким-то оснащен всеми требуемыми ОПО, ППО и СЗИ, размещен согласно требованиям, использует только предписанные технологии обработки ИОД и т.д. - дата и подпись руководителя и ответственных лиц в сегменте ИС/ИИ), но это скорее для случая крайне территориально-распределенной ИС/ИИ (например, куча филиалов в разных городах нашей необъятной, ага). И опять-таки по согласованию с лицензиатом, проводившим аттестационные испытания...
Прошло несколько недель

Автор: CM | 109063 05.03.2021 10:25
По предложенному алгоритму:
1) мероприятия пунктов 2 и 3 должны выполняться до или вместе с мероприятия пункта 1. Основание пункт 14.2 Требований, утвержденных приказом ФСТЭК России № 17: "Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей)."
2) если аттестат соответствия выдается на ГИС, то мероприятия по пункту 5 алгоритма указаны некорректно. Тем более нормативка не предусматривает ни "типового признака" описания, ни "типовой схемы".
3) не понятно о выдаче каких требований идёт речь в мероприятиях 6? Требованиях, утвержденных приказом ФСТЭК № 17? И почему такая "честь" удостоена только лицензиату? На основании какого вида лицензионной деятельности предусмотрен выдача лицензиатом требований при модернизации ИС? Модернизация ИС (или ее сегмента, что тоже по сути модернизация ИС) это вынужденная работа, возникающая постоянно в процессе эксплуатации системы и порождающая проведение полного цикла технических работ, включающих и работы по защите информации.

По рекомендациям в "ЗЫ": нет такого понятия "типовой АРМ". Тех паспорт, разрабатываемый по серии ГОСТ 34.х или по СТР-К, выдается на ИС/АС и форма тоже определена. Проводить паспортизацию отдельных сегментов обязанности нет. Поэтому не понятно что имеется в виду под словами "лучше" и "худший вариант"? Для кого или для чего лучше/хуже? Непонятно.

Автор: oko | 109068 05.03.2021 13:34
to СМ
Не занимались бы вы буквоедством, товарищ. Нормативка регулятора не настолько прозрачна для крайних случаев, чтобы можно было что-то безапелляционно утверждать...
1. То, о чем вы говорите, это де юре документальное подтверждение классификации - читай, в общем случае выполнение п. 4 приведенного алгоритма. Де факто проще вначале определить по классификаторам общий класс защищенности ИС/ИИ, затем проверить, что в сегментах нет этому противоречий. И уж потом это все "завизировать" (или "подтянуть" класс при наличии противоречий и "завизировать")...
2. П. 17.3 Приказа 17 ФСТЭК России предусматривает атт.испытания сегментов ИС/ИИ, утверждая, что на эти сегменты может быть выдан Аттестат соответствия. И теперь все зависит от "степени сходства" сегментов. Бывают случаи, когда в масштабной ИС/ИИ существуют группы сегментов, схожие внутри группы полностью, но различные между группами. В такой ситуации имеет смысл для каждой группы выдать либо собственный Аттестат соответствия, либо крутить какой-то набор коррелирующих правил и предписаний на эксплуатацию. Как уже упоминал - решать предстоит лицензиату, который за это все взялся. Почему? См. ниже...
3. Поскольку особенности аттестации ИС/ИИ, условия распространения Аттестата соответствия и проч. определяются ПиМ атт.испытаний (см. все тот же п. 17.3 Приказа 17 ФСТЭК России), постольку "честь" имеет именно лицензиат, проводящий аттестацию. А что касается условий последующей эксплуатации и модернизации - лицензиат в Аттестате соответствия (лучше, когда в отдельном наборе орг-распор. документации) определяет условия действительности Аттестата соответствия - читай, те самые требования. При наличии сегментов и при возможности ввода новых аналогичных сегментов в эксплуатацию - набор характеристик (мер защиты, правил пользования, правил орг.-реж. деятельности). Причина же этому банальна: Аттестат выдается бессрочно, но эксплуатант должен знать, какие условия ему переходит в процессе своих модернизаций нельзя...
4. "Типовой АРМ" = тот самый сегмент ИС/ИИ. Де юре СТР-К к Приказу 17 ФСТЭК России в части ТехПаспорта отношения не имеет, ГОСТ 34.хх тоже (ибо не "орган по аттестации" проводит работы). Так что в отношении ТехПаспорта имеется правовая и нормативная дыра (которую регулятор вроде как обещал устранить, но пока тишина). А худший случай - это задачка на сообразительность. п. 17.3 Приказа 17 ФСТЭК России предусматривает, что в сегментах ИС/ИИ должно обеспечиваться соблюдение всей положенной орг.-распор. документации. Попробуйте в единой ТехПаспорте на всю территориально распределенную ИС/ИИ описать овер1000+ АРМ и заставить оконечных эксплуатантов рапортовать об изменениях. Либо определите им собственную форму описания и ввода в действие данной документации. Тут, как говорится, каждый сам выбирает свой путь...

Автор: CM | 109069 05.03.2021 18:00
to oko:
Позвольте мне самому решать, чем мне заниматься... Мои замечания касаются предложенного алгоритма, а не вас лично.

> П. 17.3 Приказа 17 ФСТЭК России предусматривает атт.испытания сегментов ИС/ИИ, утверждая, что на эти сегменты может быть выдан Аттестат соответствия.
В действующей редакции Требований, утвержденных приказом ФСТЭК России № 17, нет этого. Аттестационные испытания могут быть в отношении сегмента ИС, но аттестация и выдача аттестата соответствия осуществляется в отношении ИС. Цитирую дословно "Допускается АТТЕСТАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ на основе результатов АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ выделенного набора СЕГМЕНТОВ информационной системы, реализующих полную технологию обработки информации". Т.е. испытания могут проводиться на наборе сегментов с полной технологии обработки данных, а затем на основе результатов таких испытаний может быть выдан аттестат на всю ИС.

Изначально в пункте 6 алгоритма шла речь о требованиях, а не об условиях. Именно это вызвало непонимание. Если для вас эти понятия одинаковы, то на здоровье.

> Де юре СТР-К к Приказу 17 ФСТЭК России в части ТехПаспорта отношения не имеет, ГОСТ 34.хх тоже (ибо не "орган по аттестации" проводит работы). Так что в отношении ТехПаспорта имеется правовая и нормативная дыра (которую регулятор вроде как обещал устранить, но пока тишина)
> п. 17.3 Приказа 17 ФСТЭК России предусматривает, что в сегментах ИС/ИИ должно обеспечиваться соблюдение всей положенной орг.-распор. документации.
Может у нас разная редакция Требований, утвержденных приказом ФСТЭК России № 17?
Цитирую дословно "В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение ЭКСПЛУАТАЦИОННОЙ ДОКУМЕНТАЦИИ на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации".
Пункт 1.3 и таблица в разделе 1 ГОСТа 34.201-89 "ИТ. КСАС. Виды, комплектность и обозначение документов при создании автоматизированной системы" предусматривают разработку Технического паспорта на систему на стадиях ЭТ,ТП, РД с пометкой, что он входит в состав ЭКСПЛУАТАЦИОННОЙ ДОКУМЕНТАЦИИ. На всякий случай: отсылка именно на этот ГОСТ указанна в пункте 15.1 Требований, утвержденных приказом ФСТЭК России № 17.
В таком случае непонятно о какой "нормативной и правовой дыре" идёт речь... Возможность использования формы Техпаспорта из СТР-К или ГОСТов теми же Требованиями, утвержденными приказом ФСТЭК России № 17, нас никоем образом не ограничивается.

Автор: oko | 109070 05.03.2021 21:27
to СМ
1. Что мешает провести АИ каждого (это актуально для случая составления ИС из набора разномастных групп, подчеркиваю, сегментов) типового сегмента (внутри каждой группы), выдать на него Аттестат соответствия, а позже выдать совокупный Аттестат соответствия для результирующей ИС? Приведенная вами цитата такому утверждению не противоречит. А ведь такая ситуация имеет место быть повсеместно в глобальных сегментированных ИС, к которым поэтапно (еще и весьма размазанно по времени и срокам) привлекают разных лицензиатов...
2. Равнозначность понятий "Оконечные условия по результатам АИ" и "Явные требования по дальнейшей эксплуатации", imho, должна быть вбита в подкорку большинству эксплуатантов. Именно поэтому между ними знак равенства (и топикстартеру приводил безальтернативно). Иначе вся затея с аттестацией (о чем уже много раз говорилось всеми причастными лицами) превращается в тыкву, как только уважаемая аттестационная комиссия покидает объект, ага...
3. Как раз говорил о правовой дыре в конкретике оформления ТехПаспорта, а не о том, нужен он или нет (хотя и об этот момент много копий форуме было сломано). И намекал, что для случая "каждый сегмент ИС = территориально удаленное типовое АРМ" (читай, куча одинаковых рабочих мест в большой филиальной структуре) оформлять ТехПаспорт по существующим формам неосмысленно. Где будет фиксироваться информация по конкретному АРМ - в едином ТехПаспорте на всю ИС (хранящемуся, очевидно, где-то в центральном подразделении такой организации)? Или в каждом сегменте раздельно? Если раздельно, то как можно отследить текущее состояние всей ИС в целом, что обязательно понадобится в рамках контрольных мероприятий со временем при условии наличия Единого Аттестата соответствия? Если в Едином ТехПаспорте, то до каких масштабов применим такой подход? И как безопасникам "из центра" не повеситься, особенно в случае периодических модернизаций в тех или иных сегментах? Фраза про приемку, наличие ОРД и проч. очень хороша сама по себе, но, imho, конкретики часто не хватает...

ЗЫ Вообще, pro bono commune соглашусь, что алгоритм не идеален и больше смахивает на попытку "объять необъятное" (за что вполне ожидаемо можно заработать плевок в рожу в лучших традициях тов. Пруткова). С другой стороны, чего еще ждать от совета на форуме в Сети? Любой подобный совет или результат дискуссии всегда необходимо делить на 20 и хорошенько думать, прежде чем его применять на практике для своей ситуации. Даже в случае приведения собеседниками убедительных доводов и цитатирования известных источников, ага...

Автор: CM | 109071 06.03.2021 18:34
К чему было высказывание в пункт 1 непонятно. Опять же с примесью не существующих в нормативке терминов "типового сегмента", "результирующей ИС". По логике тогда должны быть "не типовые сегменты" и некая "промежуточная ИС"?! Ну, главное, чтобы сам высказывающий себя понимал...

Высказывания в пункте 2 подтверждают опасения, что имеет место быть какая-то страсть к созданию собственных терминов с неуёмным желанием их "вбить в подкорку БОЛЬШИНСТВУ эксплуатантов" и уверенностью в зависимости от них процедуры аттестации.

В совокупности вопросов пункта 3 видится в "перекладывании" недостатков организационных мероприятий на нормативное "поле". Нормативка, как раз, не ограничивает в выборе в оформлении паспорта ИС. Может оно и правильно?

Считаю данную дискуссию исчерпанной и с вашего позволения в ней ну буду принимать дальнейшее участие.

Автор: oko | 109072 07.03.2021 03:43
to СМ
Дык, партзаданий "открой посты oko и возрази ему" вроде не существует, так что участвуйте в любой момент - ограничений нет. Собственно, продолжу, а там как хотите...
Primo, остаюсь при своем мнение, что "дискуссий" на форуме не бывает. Обмен мнениями, упорное доказательство теоремы "сферического коня в вакууме" и ее обсуждение, рассказ о имевших место быть граблях и т.п. - это пожалуйста. Но явно не попытка достичь истины с исключительно корректными приемами ведения спора, ага...
Secundo, в моменте <К чему было высказывание в пункт 1 непонятно> ничем не могу помочь. На суть проблемы <Аттестационные испытания могут быть в отношении сегмента ИС...> был дан однозначный ответ <Что мешает...> и далее по тексту. С указанием, что это (к сожалению) имеющая место быть ситуация в реальном мире...
Tertio, новых терминов нет, есть лишь обороты для упрощения общения, но не подменяющие суть. Если нужен ГОСТ-язык - imho, лучше писать оф.запрос в инстанцию, а не пост на форум. Если же не видна тождественность терминов НМД и употребляемых оборотов - ничем не могу помочь (дважды, ага)...
Quatro, не хотел влезать в эти дебри раньше, но раз уж нужна "четкость" и "конкретика", то:
- упомянутый вами ГОСТ 34.201-89 понятия "Технический паспорт" не содержит. Используемое в нем понятие "Паспорт" относится к ЕСКД и крайне через гланды употребимо к ИС/АС в качестве эксплуатационной документации;
- ГОСТ 34.601-90 (на который также ссылается 17 Приказ) вообще не содержит понятия "паспорт";
- понятие "Тех.паспорт" как "Формуляр по ЗИ" содержит ГОСТ Р 51624 в качестве дополнительного документа, не регламентируемого ЕСКД, ЕСПД и проч.
Что получаем в сухом остатке? ТехПаспорт в любой ГИС быть обязан, но в означенных ГОСТ конкретных форм нет, а есть формы СТР-К и ГОСТ 0043, которые де юре к ГИС отношения не имеют. Как тогда его оформлять грамотно, чтобы не попасть в ситуацию "решение будет принимать конкретный исполнитель, а за ним конкретный проверяющий, каждый раз иже присно и вовеки веков"? imho, если такое "отсутствие ограничений" было изначально задумано действующей нормативкой, то это нихрена не правильно. Но именно с целью заполнить указанную дыру и были приведены определенные части вышеозначенного Алгоритма, а также комментарии к нему...

ЗЫ Модная тема - врываться, прикрываться "претензиями-не-к-вам-лично", когда хотелось сказать сразу, что автор м*дак (и страсть не та, и желания неуемны, и т.д.), не уточнять, что шаг вправо/влево от терминов и цитат карается расстрелом, и убегать. Законы дискуссии, очевидно, ничего не поделаешь...

Просмотров темы: 881

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*