Автор: Виктор | 111562 | 26.09.2024 14:36 |
Вопрос по защите ГИС. Наша ГИС это железо в ЦОДе (на котором крутится СПО, ОПО, СЗИ) и места администраторов. Это так сказать внутрянка. А внешне это интернет портал для пользователей региона. Пользователи получают доступ к личному кабинету и там работают. И сам вопрос. Должны ли мы в рамках 17 приказа предъявлять требования к самому интернет порталу, а именно меры ЗИ (ИАФ, УПД и тд) ? Если да должны, то получается они должны быть реализованы сертифицированными СЗИ ? Просто сомневаюсь я, что у всех ГИСовых интернет порталов перекрыто сертифицированными СЗИ решениями. Для меня более менее понятно, что на железо ставятся сертифицированные СЗИ от НСД, антивирусы на ОС, межсетевые экраны и тд. А что делать с интернет порталами?! по сути своей это ведь СПО ? Может я не правильно мыслю или это как-то обходится в рамках МУ и ТЗ ? Подскажите, пожалуйста. Большое спасибо!
|
Автор: oko | 111564 | 26.09.2024 16:18 |
to Виктор
У меня для вас как минимум 1 новость и она очень неприятная: ваша ГИС - это как раз веб-портал. А все остальное - это ее база и внутренние элементы (включая самих админов, их машины и действия)... Сходите к вменяемому лицензиату ТЗКИ по своему региону. Пообщайтесь. Они наверняка объяснят по пунктам и как так получается, и что надо делать, и как это все защищать... Только не к тому лицензиату, что выдал Аттестат на вашу текущую ГИС по принципу "только железо в ЦОД". Если же его вообще не выдали, а народ уже работает, то новость будет еще более неприятной, ага... |
Автор: Виктор | 111566 | 27.09.2024 09:43 |
2 oko спасибо большое!
Но, пожалуйста, хотя бы кратко, если можно, как строится в таком случае защита веб-портала? Как реализуются меры ЗИ (ИАФы, УПД и тд)? Поделитесь, пожалуйста, опытом. |
Автор: Виктор | 111567 | 27.09.2024 09:55 |
2 oko Про сетевые сканеры безопасности и межсетевые экраны включая СОВ это понятно. Не ясно про ИАФы, УПД и тд. Прошу помочь. Спасибо.
|
Автор: Виктор | 111568 | 27.09.2024 10:00 |
2 oko Если более конкретно, то мы хотим переработать веб-портал. Разрабатываем ТЗ для Поставщиков, но совсем не ясно в праве ли мы указывать на реализацию ИАФ, УПД и тд?
|
Автор: oko | 111570 | 28.09.2024 10:25 |
to Виктор
В идеале, если движок веб-портала реализует механизмы разграничения прав доступа, то они, да, должны пройти сертификацию. Как и другие механизмы защиты, встроенные в веб-портал при его разработке... Комплексно можно делать иначе: ИАФ через ЕСИА, сертиф. ОС и СУБД под капотом (для УПД и РСБ/АУД, в частности), СКЗИ в TLS для защиты каналов связи между платформой веб-портала и юр.лицами (с физ.лицами до сих пор все сложно, хоть и есть уже решения от Инфотекса, Криптопро и т.п., но там вопросы лежат в другой плоскости). И WAF для L7 фильтрации и, в некоторых случаях, для УПД и проч. imho, самое верное решение (с учетом экономической и функциональной составляющей) по Модели определить реально опасные направления и угрозы и далее перекрыть их сертиф.методами или компенсирующими мерами без полной привязки к перечню мер из 17 Приказа в обязаловку... |
Автор: Виктор | 111572 | 03.10.2024 15:13 |
2 oko БлагодарЮ!
|
Автор: Виктор | 111587 | 23.10.2024 14:27 |
Уточнил у регионального ИОГВ ответственного за политику в данном направлении. Их мнение, что меры ЗИ в СПО можно не сертифицировать. Ну эта информация, для сведения.
|
Просмотров темы: 1361