Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 6 ... 170 След.
RSS
[ Закрыто ] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
такое ощущение будто я что-то упустил и не догоняю краями

По порядку: ИСПДн-ом объявляем серваки+армы, все ПДн держим на серваке,
как выше пояснил Сергей С отделять сеть с ИСПДн от остальной не нужно, достаточно средствами сервака и самих прог разрулить права доступа в соответствии с матрицей доступа.
Сетка имеет доступ в нэт, на шлюз ставим МЭ согласно классу ИСПДн.
Пишем много бумажек (выше я приводил как пример и как свой источник вдохновения).
Этого достаточно? или я таки что-то упустил?
Упустил... ИСПДн надо отделять от остальной сети.
Если рулить права ОС - тогда вы ее используете как средство защиты,
тогда она должна быть сертифицирована ФСТЭК.
Отделять надо либо физически, либо МСЭ. Если не отделять то всю ЛВС надо защищать по максимальному классу.
Попробуйте меня переубедить =)
Цитата
ВадимКа пишет:
Попробуйте меня переубедить =)
не, я не буду, только надо еще добавить, что согласно п.2.11. Постановления 58 "Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов".
По-моему мнению либо надо все ИСПДн классифицировать по одному классу, а при разных классах - разделять их, как указано - с использованием межсетевых экранов
Цитата
ВадимКа пишет:
Если рулить права ОС - тогда вы ее используете как средство защиты, тогда она должна быть сертифицирована ФСТЭК.
винды сертифицированы, если линь то астра вроде тоже сертифицирована, если сертифицированной ОС разруливаются права тогда не надо отделять ИСПДн с помощью МСЭ от остальной сети?
если да МСЭ на каждом компе или выделять в отдельный сегмент и ставить МСЭ между ними?

тогда да проще объявить всю сетку ИСПДн, любопытных отсечь средствами ОС или средствами от НСД, так можно?
Изменено: Rimsky - 10.08.2011 13:44:51
Цитата
Rimsky пишет:
или в любом случае отделяется ИСПДн от остальной сети? где это сказано?
повторяю:
Цитата
Ирина Петрова пишет:
п.2.11. Постановления 58 "Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов".
простите, здесь имелся в виду Приказ ФСТЭК РФ от 05.02.2010 N 58
Изменено: Ирина Петрова - 10.08.2011 13:48:06
меня интересует техническая сторона вопроса - как сделать, и желательно попроще, а в приказе 58 теоретическая сторона - что нужно сделать
ну извините, на Вас не угодишь... Делайте сертифицированными средствами или пишите по каждому поводу во ФСТЭК - причем лучше по своему федеральному округу или сразу в Московский (главный). Потому как на практике бывает что у разных регионов свои требования (откуда только берут? или тоже каждый по своему трактуют законодательство?)
спасибо за ответы!
Цитата
Rimsky пишет:
тогда да проще объявить всю сетку ИСПДн, любопытных отсечь средствами ОС или средствами от НСД, так можно?

Насколько я знаю, сертифицированная ОС закрывает не все требования 58приказа ФСТЭК. Поэтому
придется докупать средства от НСД например Аккорд. Можно защищать всю сетку, но в большинстве случаев
это нецелесообразно, например сетка 100 компов, а ПД обрабатывают 15, проще их отделить МСЭ и защитить.
Сертифицированная ОС Windows закрывает:
а) управление доступом:
б) регистрация и учет:
в) обеспечение целостности:

Это необходимо и достаточно для K2 и К3

Есть одно требование - правильная настройка ОС в соответствии с рекомендациями
Для К1 придётся использовать навесное СЗИ
Anonimous, объясните пожалуйста как с помощью ОС защититься от недоверенной загрузки?
Когда сертифицированная ОС даже не стартует.
Цитата
ВадимКа пишет:
как с помощью ОС защититься от недоверенной загрузки? Когда сертифицированная ОС даже не стартует.
наверное будет достаточно опечатать ящик, а в BIOS запретить загрузку с флешек/DVD

Цитата
ВадимКа пишет:
сертифицированная ОС закрывает не все требования 58приказа ФСТЭК
о как, этого я не знал.
теперь понятно, в соответсвии с приказом 58 п2,11 машины с ИСПДН отделяем МСЭ в любом случае

прикинул для своего случая: две разных ИСПДн (к4 и к1) + нэт,

1. можно ли две ИСПДн объеденить в один сегмент и защитить МСЭ для к1, при этом внутри разнести права средствами ОС для к4 и сертифицированными средствами от НСД для К1?

2. дороговато получится однако, можно ли всех пользователей ИСПДн к1 загонять через терминал на сервер терминалов, на котором все будет крутиться и который уже собственно защитить по К1? а кампы-клиенты в таком случае не защищать средствами от НСД, только средствами ОС
Изменено: Rimsky - 10.08.2011 14:36:53
Цитата
Rimsky пишет:
Цитата
ВадимКа пишет:
как с помощью ОС защититься от недоверенной загрузки? Когда сертифицированная ОС даже не стартует.
наверное будет достаточно опечатать ящик, а в BIOS запретить загрузку с флешек/DVD

Цитата
ВадимКа пишет:
сертифицированная ОС закрывает не все требования 58приказа ФСТЭК
о как, этого я не знал.
теперь понятно, в соответсвии с приказом 58 п2,11 машины с ИСПДН отделяем МСЭ в любом случае

прикинул для своего случая: две разных ИСПДн (к4 и к1) + нэт,

1. можно ли две ИСПДн объеденить в один сегмент и защитить МСЭ для к1, при этом внутри разнести права средствами ОС для к4 и сертифицированными средствами от НСД для К1?

2. дороговато получится однако, можно ли всех пользователей ИСПДн к1 загонять через терминал на сервер терминалов, на котором все будет крутиться и который уже собственно защитить по К1? а кампы-клиенты в таком случае не защищать средствами от НСД, только средствами ОС

Именно опечатать ящик, пароль на BIOS и загрузка только с системного диска.

всегда ли нужен МСЭ? особенно при сильной ограниченности бюджета.
если не требуется связь между сегментами и выход в интернет, можно физически отключить.
А людям, желающим интернета объяснить сколько это будет стоить и предложить оплатить из зарплаты, в конце концов возможно использование отдельностоящего компьютера, подключенного к "сети"
Цитата
Anonimous пишет:
Именно опечатать ящик, пароль на BIOS и загрузка только с системного диска.
В любой момент может сесть батарейка на BIOS, вариант?

А опечатать ящик и пароль на BIOS это естественно нужно =)
Цитата
ВадимКа пишет:
В любой момент может сесть батарейка на BIOS, вариант?
хы, на моем небольшом опыте рейды дохли чаще чем ЦМОС-батарейки, реально только трипням выпуска 2001-2002гг приходилось менять батарейку
опечатывать надо обязательно чтобы не утащили или не подменили унутренности, биос запаролить, хотя если мышка усб - тут возникают некоторые сложности
особенно если базки - на dbf, для них нужно чтобы юзер был локальным админом

повторю вопрос:
можно ли всех пользователей ИСПДн к1 загонять через терминал на сервер терминалов, на котором все будет крутиться и который уже собственно защитить по К1? а кампы-клиенты в таком случае не защищать средствами от НСД, только средствами ОС
если нет - кто запрещает?
Изменено: Rimsky - 11.08.2011 08:41:39
Цитата
Rimsky пишет:
Цитата
ВадимКа пишет:
В любой момент может сесть батарейка на BIOS, вариант?
хы, на моем небольшом опыте рейды дохли чаще чем ЦМОС-батарейки, реально только трипням выпуска 2001-2002гг приходилось менять батарейку
опечатывать надо обязательно чтобы не утащили или не подменили унутренности, биос запаролить, хотя если мышка усб - тут возникают некоторые сложности
особенно если базки - на dbf, для них нужно чтобы юзер был локальным админом

повторю вопрос:
можно ли всех пользователей ИСПДн к1 загонять через терминал на сервер терминалов, на котором все будет крутиться и который уже собственно защитить по К1? а кампы-клиенты в таком случае не защищать средствами от НСД, только средствами ОС
если нет - кто запрещает?

Где-то было обсуждение, что в таком случае ФСТЭК рекомендует защищать терминальные клиенты по требованиями К3.

Хотя модель угроз покажет все необходимые меры.

ИМХО, следует считать, что на терминальном клиенте одновременно могут находиться ПДн категории 1 в количестве одной штуки.
Да ни кто не запрещает.
Цитата
ВадимКа пишет:
Цитата
Anonimous пишет:
Именно опечатать ящик, пароль на BIOS и загрузка только с системного диска.
В любой момент может сесть батарейка на BIOS, вариант?

А опечатать ящик и пароль на BIOS это естественно нужно =)

В этом вопросе разводить паранойю себе - дороже.

Севшая батарейка приводит к невозможности загрузить компьютер - это сбой технических средств. (отдельный пункт в модели угроз)

Злоумышленнику ждать когда сядет батарейка для того чтобы украсть ПДн? угроза приводится к неактуальной
Цитата
Гость пишет:
Где-то было обсуждение, что в таком случае ФСТЭК рекомендует защищать терминальные клиенты по требованиями К3
что такое КЗ? для меня КЗ - контролируемая зона
относительно терминального сервера меня гложут сомнения, ведь несмотря на то что все обрабатывается на сервере информация ИСПДн выводится на экран клиента
по модели угроз угроза утечки видовой - маловероятно, утечка по ПЭМИН - тоже маловероятна
в таком случаем на терминальные клиенты можно не заморачиваться? (терм сервер вин2008, терм клиент - вин7про)
Страницы: Пред. 1 2 3 4 5 6 ... 170 След.
Читают тему (гостей: 5, пользователей: 0, из них скрытых: 0)