Контакты
Подписка
МЕНЮ
Контакты
Подписка

Анализ уязвимостей ГИС - Форум по вопросам информационной безопасности

Анализ уязвимостей ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Виктор | 111562 26.09.2024 14:36
Вопрос по защите ГИС. Наша ГИС это железо в ЦОДе (на котором крутится СПО, ОПО, СЗИ) и места администраторов. Это так сказать внутрянка. А внешне это интернет портал для пользователей региона. Пользователи получают доступ к личному кабинету и там работают. И сам вопрос. Должны ли мы в рамках 17 приказа предъявлять требования к самому интернет порталу, а именно меры ЗИ (ИАФ, УПД и тд) ? Если да должны, то получается они должны быть реализованы сертифицированными СЗИ ? Просто сомневаюсь я, что у всех ГИСовых интернет порталов перекрыто сертифицированными СЗИ решениями. Для меня более менее понятно, что на железо ставятся сертифицированные СЗИ от НСД, антивирусы на ОС, межсетевые экраны и тд. А что делать с интернет порталами?! по сути своей это ведь СПО ? Может я не правильно мыслю или это как-то обходится в рамках МУ и ТЗ ? Подскажите, пожалуйста. Большое спасибо!

Автор: oko | 111564 26.09.2024 16:18
to Виктор
У меня для вас как минимум 1 новость и она очень неприятная: ваша ГИС - это как раз веб-портал. А все остальное - это ее база и внутренние элементы (включая самих админов, их машины и действия)...
Сходите к вменяемому лицензиату ТЗКИ по своему региону. Пообщайтесь. Они наверняка объяснят по пунктам и как так получается, и что надо делать, и как это все защищать...
Только не к тому лицензиату, что выдал Аттестат на вашу текущую ГИС по принципу "только железо в ЦОД". Если же его вообще не выдали, а народ уже работает, то новость будет еще более неприятной, ага...

Автор: Виктор | 111566 27.09.2024 09:43
2 oko спасибо большое!

Но, пожалуйста, хотя бы кратко, если можно, как строится в таком случае защита веб-портала? Как реализуются меры ЗИ (ИАФы, УПД и тд)? Поделитесь, пожалуйста, опытом.

Автор: Виктор | 111567 27.09.2024 09:55
2 oko Про сетевые сканеры безопасности и межсетевые экраны включая СОВ это понятно. Не ясно про ИАФы, УПД и тд. Прошу помочь. Спасибо.

Автор: Виктор | 111568 27.09.2024 10:00
2 oko Если более конкретно, то мы хотим переработать веб-портал. Разрабатываем ТЗ для Поставщиков, но совсем не ясно в праве ли мы указывать на реализацию ИАФ, УПД и тд?

Автор: oko | 111570 28.09.2024 10:25
to Виктор
В идеале, если движок веб-портала реализует механизмы разграничения прав доступа, то они, да, должны пройти сертификацию. Как и другие механизмы защиты, встроенные в веб-портал при его разработке...
Комплексно можно делать иначе: ИАФ через ЕСИА, сертиф. ОС и СУБД под капотом (для УПД и РСБ/АУД, в частности), СКЗИ в TLS для защиты каналов связи между платформой веб-портала и юр.лицами (с физ.лицами до сих пор все сложно, хоть и есть уже решения от Инфотекса, Криптопро и т.п., но там вопросы лежат в другой плоскости). И WAF для L7 фильтрации и, в некоторых случаях, для УПД и проч.
imho, самое верное решение (с учетом экономической и функциональной составляющей) по Модели определить реально опасные направления и угрозы и далее перекрыть их сертиф.методами или компенсирующими мерами без полной привязки к перечню мер из 17 Приказа в обязаловку...

Автор: Виктор | 111572 03.10.2024 15:13
2 oko БлагодарЮ!
Прошла пара недель

Автор: Виктор | 111587 23.10.2024 14:27
Уточнил у регионального ИОГВ ответственного за политику в данном направлении. Их мнение, что меры ЗИ в СПО можно не сертифицировать. Ну эта информация, для сведения.

Страницы: < 1 2

Просмотров темы: 1361

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*