Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация ИСПДн, размещенной в стороннем аттестованном ЦОД - Форум по вопросам информационной безопасности

Аттестация ИСПДн, размещенной в стороннем аттестованном ЦОД - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: МАКС | 109439 16.08.2021 10:24
Доброго дня, коллеги!
Кто то может подсказать как мы можем аттестовать ИСПДн, которая будет разворачиваться на арендованном и уже аттестованном оборудовании в ЦОДе сторонней организации?

немного не понятно как это сделать, учитывая то, что ЦОД уже аттестован? мы аттестационных документах должны ссылаться на аттестат ЦОДа, тем самым обосновывая отсутствие необходимости в тех или иных СЗИ?

Автор: oko | 109442 17.08.2021 01:33
to МАКС
imho, главное: класс/уровень, не противоречащий общей классификации ИС; актуальность используемых мер/средств защиты в "аттестованной" части ИС; непротиворечивость выводов Модели угроз по всей ИС в целом...
Так-то новые СЗИ и аттестационные испытания для "сегмента" ИС, который связан с ЦОД, внедряются и рассматриваются в совокупности с мерами/средствами ЦОД, но, зачастую, только в вопросах взаимодействия "сегмент - ЦОД". Что там дальше в ЦОД происходит - проблема оператора и лицензиата-выдавшего-аттестат. Если, конечно, они не оказались настолько хитрецами, что учли возможные проблемы и расписали границы ответственности (границы моделирования, границы защиты) так, что теперь вся головная боль ушла в "сегменты". Бывает и такое...
Так что для начала рекомендую почитать атт.документы + Модель + Техпроект по ЦОД, а дальше уже думать и разбираться со своим(ими) сегментами, ага...

Автор: oko | 109443 17.08.2021 01:37
И да, у вас два варианта. Либо ИСПДн имеет сегментированную структуру: ЦОД и, например, группа удаленных раб.мест или взаимосвязанных инфраструктур. Либо под ИСПДн вы понимаете чисто программную реализацию + базу данных чего-то там, развернутого в ЦОД...
Для первого случая см. выше...
Для второго надо обязательно смотреть, что же там прописано в этом "аттестате соответствия ЦОД". Насколько он подходит к случаю вашей ИСПДн. Какие вопросы и проблемы (читай, угрозы и требования) закрывает. Что там с ответственностью сторон и, главное, с вопросами удаленного и локального управления/администрирования, включая администрирование внедренной КСЗ...

Просмотров темы: 120

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*