Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] ИСПДн на несколько юр. лиц
Добрый день.
Имеется нетривиальная ситуация. Перечитал форум - однозначных ответов для себя не нашел. Прошу помочь разобраться.
Несколько юр. лиц находятся в одной локальной сети и пользуются общей ИСПДн, которая является программой собственного сочинения, в основе СУБД Oracle. При этом ИСПДн владеет одно юр. лицо, другие покупают лицензии на доступ.
Вопросы:
1. Правильно ли я понял, что владелец ИСПДн должен иметь сертификат ТЗКИ или нанять фирму, которая такую лицензию имеет?
2. Получается локальная сеть = сеть общего пользования и нужно выделять каждое юр. лицо. Как обойтись меньшей кровью? Может быть можно оставить все как есть, а изолировать только ИСПДн и дать к ней доступ через терминал или поднимать VPN средствами Windows прямо с рабочих мест? Какие есть варианты? Создавать под каждую фирму свою сеть и ставить между ними МЭ очень не хочется.
3. Нужно ли заморачиваться по поводу аутентификации и разграничения доступов пользователей? У нас все работает на учетных записях и ролях Oracle.
4. Нужно ли как-то сертифицировать саму программу, проходить аттестацию или что-то подобное?
Может быть еще на какие-то моменты нужно обратить внимание?
Изменено: MyBe - 17.03.2014 22:54:44
Если ИСПДн не является АС в защищенном исполнении, лицензия на ТЗКИ изготовителю не требуется.
Если захотите позиционировать софтинку как АС в защищенном исполнении, потребуется вдобавок лицензия на разработку и производство СЗКИ.
ГИСы в похожей ситуации делают так: позиционируют свои ЦОДы и терминалы на местах как разные АС. ЦОДовская ГИС при этом имеет класс выше, чем терминальная, т.к. в конечном счете охватывает больший объем данных. Терминальные ГИС проходят по документам как АС абонентского пункта, между АП и ЦОДом организовывается связь по VPN.
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)