Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Класс МЭ в ИСПДН1 - кто смог разобраться?, Класс
Имеем ИСПДН 1 класса (спец.) многопользовательский режим обработки с разными правами доступа с наличием соединения с сетями общего пользования.

Согласно рекомендациям имеем:
Для ИСПДн К1 – МЭ 3 класса

Но, есть мнение что нужно использовать МЭ 2 класса...

Заложили пока в ТЗ VIPNET в документах которого четко прописано для ИСПДН 1.

Или тут есть какие-то тонкости?
Тонкость всего одна:
подключение удаленных абонентов к головному офису в распределенной системе по VPN технологии - не является выходом в сети общего пользования, как бы банально это не звучало. Если ViPNet Координатор не выполняет функции МЭ для выхода пользователей в СОП - его вполне достаточно.
ну а если есть выход в СОП, тогда где написано точно что нужно МЭ 2 класса? по рекомендациям всё тот же 3-ий...
Это такая специальная засада. В документах написано - МЭ 3го класса. А если смотреть по требованиям к СЗИ/МЭ для ИСПДн К1, многопользовательская с разным уровнем доступа - то МЭ 2го класса, ибо по 3му классу не все требования выполняются. Точнее не скажу, документов под рукой нету (пишу со смарта), но этот вопрос мы подробно очень разбирали. Та же засада и с ИСПДн К3, кстати - прямо декларировано применение МЭ 5го класса, а для выполнения требований небходим МЭ 4го класса.
Независимо от класса и разграничения прав, при многопользовательском режиме обработки для выхода в СОП необходим МЭ 2 класса.
В однопользовательских (с выходом в СОП) попроще:
К3 - 4 класс
К2 - 3 класс
К1 - 2 класс

Без выхода в СОП во всех случаях - 4 класс МЭ.
Цитата
Александр пишет:
подключение удаленных абонентов к головному офису в распределенной системе по VPN технологии - не является выходом в сети общего пользования, как бы банально это не звучало
Технически это наверное так. А юридически? Доказать путем ссылок на документы или публично озвученное мнение ФСТЭК сможете?
PS Когда уже на сайте ФСТЭК заработает служба "Ответы на наиболее часто задаваемые вопросы?". Четверокнижие породило больше вопросов, чем ответов.
Цитата
Michail пишет:
Это такая специальная засада. В документах написано - МЭ 3го класса. А если смотреть по требованиям к СЗИ/МЭ для ИСПДн К1, многопользовательская с разным уровнем доступа - то МЭ 2го класса, ибо по 3му классу не все требования выполняются. Точнее не скажу, документов под рукой нету (пишу со смарта), но этот вопрос мы подробно очень разбирали. Та же засада и с ИСПДн К3, кстати - прямо декларировано применение МЭ 5го класса, а для выполнения требований небходим МЭ 4го класса.

+1
именно так.
Одним из принципов "Развития информационного общества в РФ" является поддержка отечественных производителей продукции и услуг в сфере ИКТ. А вы поддержите модернизацию России?
Цитата
Stas Lutatovsky пишет:
Технически это наверное так. А юридически? Доказать путем ссылок на документы или публично озвученное мнение ФСТЭК сможете?
Как вариант - официальное письмо во ФСТЭК (лучше сразу московский). Если в разрезе этого вопроса уточнить у них, на каком основании ViPNet CUSTOM разрешается использовать в ИСПДн 1 класса (в тексте сертификата об этом ни слова, да и МЭ всего 3 класса), то, имхо, публично озвученное мнение вам обеспечено.

P.S. Я в курсе, что 1В приравнивается к К1.
Изменено: Александр - 25.10.2009 19:05:17
Для применения СЗИ в ИСПДн в его сертификате однозначно должна быть фраза о возможности применения данного срества для защиты ИСПДн до такого-то класса. Если Вас смущает, что МЭ сертифицирован ниже уровнем, чем требуют документы по ИСПДН, а вышеказанная запись есть, то напрасно.
Изменено: Евгений В. Казаков - 26.10.2009 00:30:19
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
А каков официальный статус реестра сертифицированных продуктов на сайте ФCТЭК?
Например, в сертификате на Oracle 11g написано, что он на ТУ и 1Г и про ИСПДн ничего не написано.
А в реестре написано, что он может использоваться в ИСПДн до К2.
Чему верить?
Цитата
Евгений В. Казаков пишет:
Если Вас смущает, что МЭ сертифицирован ниже уровнем, чем требуют документы по ИСПДН, а вышеказанная запись есть, то напрасно.
Наличие записи позволяет использовать данное СЗИ, но не говорит о его достаточности. В конечном итоге при проверке смотрят на требования ("Основные мероприятия") и на то, чем их выполнили.

Цитата
Хрюн пишет:
А каков официальный статус реестра сертифицированных продуктов на сайте ФCТЭК?
Например, в сертификате на Oracle 11g написано, что он на ТУ и 1Г и про ИСПДн ничего не написано.
А в реестре написано, что он может использоваться в ИСПДн до К2.
Чему верить?
Подобная ситуация обстоит со многими СЗИ. Сертификаты на данные системы выданы для АС в то время, когда защита ПДн только проглядывалась на горизонте Российского законодательства, да и после выхода 152-ФЗ на нее не сразу спрос появился.
Можно предположить, что при продлении данных сертификатов необходимая приписка появится.
Изменено: Александр - 26.10.2009 13:15:46
Да нет - сертификат на Oracle 11g получен совсем недавно ;-)
Так что причина в чем-то другом.
Цитата
Александр пишет:
подключение удаленных абонентов к головному офису в распределенной системе по VPN технологии - не является выходом в сети общего пользования, как бы банально это не звучало

Почему? А если VPN-канал проходит через СОП, разве это автоматически не значит выход в СОП?
Цитата
Anton пишет:
Почему? А если VPN-канал проходит через СОП, разве это автоматически не значит выход в СОП?

Нет. Это использование СОП в качестве транспортной среды. Что, в свою очередь, требует криптографии. Кстати, использование СОП исключительно как транспортной среды является обязательным для органов госвласти (имеется ввиду, ес-сно, СВТ, водящие в защищаемые АС)
Цитата
Гость пишет:
по рекомендациям всё тот же
надо смотреть не "рекомендации", а "основные мероприятия"
Доброго вемени суток.
Насчет сертификатов на СЗИ все равно НСД или МЭ
лучше всего чтобы была запись о возможности использования в ИСПДн до такого-то класса включительно.
следщий случай если написан класс по дейтсвующим РД тоже подходит,
единственно немного проблемный случай это когда стоит на соотвествие ТУ, но тут просто более внимательно надо протокол аттестционных испытаний надо исполнять и никаких пробле не возникнет.
Цитата
Александр пишет:
Независимо от класса и разграничения прав, при многопользовательском режиме обработки для выхода в СОП необходим МЭ 2 класса.
В однопользовательских (с выходом в СОП) попроще:
К3 - 4 класс
К2 - 3 класс
К1 - 2 класс

Без выхода в СОП во всех случаях - 4 класс МЭ.
Ну почему нельзя было так написать сразу в РД?
Сейчас коллеги делают такое сопоставление.
Год назад на круглых столах это обсуждалось - презентациях явно это указывалось.
совсем запутался.. VipNet кричит что их система однозначно заточена под К1
Я читаю РД, там "... для первого класса МЭ не ниже 3-го...". Всё вроде нормально. Тут я читаю что по требованиям нужен 2-го.. Чему верить то? Тому где чётко написано или своим умозаключениям?
Цитата
GoDr пишет:
совсем запутался.. VipNet кричит что их система однозначно заточена под К1
Я читаю РД, там "... для первого класса МЭ не ниже 3-го...". Всё вроде нормально. Тут я читаю что по требованиям нужен 2-го.. Чему верить то? Тому где чётко написано или своим умозаключениям?

Верить ФСТЭКовским документам. А там для К1 есть требование про "что-то там двунаправленное" (ну корявовато они пишут, а лезть искать цитату лень, да и не суть важно), а такая фича есть только у МЭ 2 класса. Во всяком случае, пока так. Так что применяться-то МЭ 3го класса может, но ныне существующие недостаточны для выполнения всех требований. Как-то так вот. ;)

П.С. Кстати, с К3 и классом МЭ то же самое - заявлено, что достаточен МЭ 5кл, а по требованиям - гораздо выше надо, в зависимости от конфигурации ИСПДн.
Страницы: 1
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)