Контакты
Подписка
МЕНЮ
Контакты
Подписка

Реализация меры защиты ИАФ.6 "Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)" в ГИС - Форум по вопросам информационной безопасности

Реализация меры защиты ИАФ.6 "Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)" в ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Антон | 109371 15.07.2021 11:09
Добрый день!

Допустимо ли обеспечивать меру защиты ИАФ.6 "Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)" в ГИС силами самописного ПО? Например, в виде входа в веб-интерфейс ИС только с помощью пары логин-пароль с реализацией механизма проверки на стороне сервера с помощью PHP.

Автор: sekira | 109372 15.07.2021 15:16
11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации...
15.1. При проектировании системы защиты информации информационной системы:
...определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
...осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации...
...При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации и их сертификация...

Автор: Геннадий | 109373 18.07.2021 11:11
Как определить, является ли информационная система ГИС или нет?

Автор: Антон | 109375 18.07.2021 18:45
Спасибо за разъяснение!

Кто-нибудь может посоветовать сертифицированное СЗИ, реализующее ИАФ для веб-приложений? Чтобы пользователь получал доступ к веб-панели ГИС только после ввода логина и пароля? Я пока нашел только «Bars.Up.Access Manager», но у него срок действия сертификата ФСТЭК истек еще 19.06.2020...

Автор: Антон | 109376 18.07.2021 18:45
Или стоит отказаться от веб-аутентификации вообще и реализовать ИАФ другим способом?

Автор: Константин | 109380 21.07.2021 11:57
2 Антон

Все адекватные ГИС считают, что внешние пользователи не входят в состав ГИС.

Чем вы лучше или хуже?

"В соответствии с документом «Инфраструктура электронного правительства. Государственная информационная система «Единый портал государственных услуг (функций). Единое окно цифровой обратной связи». Модель угроз и нарушителя безопасности информации» от 31 марта 2021 года, рабочие места сотрудников органов и организаций, с которых осуществляется доступ к web-интерфейсу ПОС, являются внешними пользователями системы и не входят в состав ФГИС ЕПГУ"

https://docplayer.ru/208630307-Terminy-i-opredeleniya.html

Автор: oko | 109381 21.07.2021 12:10
*в сторону*
Самое неадекватное обоснование "внешности пользователей", которое приходилось видеть. Эдак можно любую машину и любого сотрудника, которые физически не разместились внутри кластера серверов, где крутится основной софт ГИС, рассматривать "внешними". Логично же...

to Антон
Завяжите процессы ИАФ своего веб-портала на ЕСИА и будет вам счастье. Как техническое, так и юридическое, ага...

Автор: Константин | 109390 22.07.2021 17:36
2 oko

https://lib.itsec.ru/forum.php?from=-1&sub=14003

вы же сами мне об этом писали..

Автор: oko | 109391 22.07.2021 21:00
to Константин
Увы, диагональ иногда имеет последствия...
В приведенном выше прочел <сотрудников органов и организаций> как <сотрудников организации-владельца (оператора) ЕПГУ> (типа "наши удаленные работники для нас внешние пользователи"), оттуда и решил про неадекватность...
Спасибо, что обратили внимание. Пора, вестимо, прокачать модуль внимательности, ага...

Просмотров темы: 579

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*