Автор: МАКС | 109439 | 16.08.2021 10:24 |
Доброго дня, коллеги!
Кто то может подсказать как мы можем аттестовать ИСПДн, которая будет разворачиваться на арендованном и уже аттестованном оборудовании в ЦОДе сторонней организации? немного не понятно как это сделать, учитывая то, что ЦОД уже аттестован? мы аттестационных документах должны ссылаться на аттестат ЦОДа, тем самым обосновывая отсутствие необходимости в тех или иных СЗИ? |
Автор: oko | 109442 | 17.08.2021 01:33 |
to МАКС
imho, главное: класс/уровень, не противоречащий общей классификации ИС; актуальность используемых мер/средств защиты в "аттестованной" части ИС; непротиворечивость выводов Модели угроз по всей ИС в целом... Так-то новые СЗИ и аттестационные испытания для "сегмента" ИС, который связан с ЦОД, внедряются и рассматриваются в совокупности с мерами/средствами ЦОД, но, зачастую, только в вопросах взаимодействия "сегмент - ЦОД". Что там дальше в ЦОД происходит - проблема оператора и лицензиата-выдавшего-аттестат. Если, конечно, они не оказались настолько хитрецами, что учли возможные проблемы и расписали границы ответственности (границы моделирования, границы защиты) так, что теперь вся головная боль ушла в "сегменты". Бывает и такое... Так что для начала рекомендую почитать атт.документы + Модель + Техпроект по ЦОД, а дальше уже думать и разбираться со своим(ими) сегментами, ага... |
Автор: oko | 109443 | 17.08.2021 01:37 |
И да, у вас два варианта. Либо ИСПДн имеет сегментированную структуру: ЦОД и, например, группа удаленных раб.мест или взаимосвязанных инфраструктур. Либо под ИСПДн вы понимаете чисто программную реализацию + базу данных чего-то там, развернутого в ЦОД...
Для первого случая см. выше... Для второго надо обязательно смотреть, что же там прописано в этом "аттестате соответствия ЦОД". Насколько он подходит к случаю вашей ИСПДн. Какие вопросы и проблемы (читай, угрозы и требования) закрывает. Что там с ответственностью сторон и, главное, с вопросами удаленного и локального управления/администрирования, включая администрирование внедренной КСЗ... |
Автор: Алексей | 110862 | 03.05.2023 15:54 |
А если стоит задача аттестовать ИСПДн, которая развернута на базе ЦОД, для которого проводилась оценка эффективности, а не аттестация. Такую ИСПДн вообще возможно аттестовать?
|
Просмотров темы: 962