Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Разграничение прав доступа, защита от НСД
Здравствуйте!
Возник вопрос как разграничить права доступа и выполнить иные требования Руководящего документа. Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации сертифицированными средствами, если информация обрабатывается исключительно в одной программе, где реализовано разграничение прав доступа, но она не является сертифицированной и сертифицированных аналогов нет.
То есть если мы внедрим сертифицированное средство защиты от НСД (скажем, Dallas Lock), то мы сможем разграничить права доступа лишь к самой этой программе, а в РД указано: Идентификация, проверка подлинности и контроль доступа субъектов к томам, каталогам, файлам, записям, полям записей. Не говоря об остальных требованиях.

То же самое касается и ИСПДн. Если ПДн обрабатываются в несертифицированном ПО, то как разграничивать доступ внутри этой программы?
Цитата
Beds пишет:
как разграничивать доступ внутри этой программы?
Сертифицированными должны быть СЗИ, программы для обработки могут иметь (а могут и не иметь) механизм ролей или разграничения доступа. Если данные критичны, то программы без разграничения доступа лучше не использовать, или все пользователи будут иметь равные права, что тоже допустимо, тогда навесных СЗИ достаточно.
Цитата
Сергей С. пишет:
Сертифицированными должны быть СЗИ, программы для обработки могут иметь (а могут и не иметь) механизм ролей или разграничения доступа. Если данные критичны, то программы без разграничения доступа лучше не использовать, или все пользователи будут иметь равные права, что тоже допустимо, тогда навесных СЗИ достаточно.
Просто в этом случае этими самым сертифицированными СЗИ можно ограничить доступ к компьютеру и к программе в которой обрабатывается информация.
А в требованиях еще есть разграничение доступа к информации (и в этом случае доступ разграничивает не сертифицированное СЗИ) и другие требования.

Достаточно ли просто повесить сертифицированное СЗИ и ограничить доступ к компьютеру и доступ к программе (а к информации разграничивать в программе обработки информации), например для соответствия классу 1Г.

И аналогичный вопрос про ИСПДн - вешаем сертифицированное СЗИ, а доступ к перс данным разграничивается в несертифицированной программе, выполняются ли в этом случае требования 21 приказа ФСТЭК по части НСД?
Beds, ну если так хочется чего-нибудь сертифицированного - декларируете соответствие своей программы (описав и зафиксировав факт наличия механизма разграничения доступа к записям и полям записей), или покупаете сборку 1С в защищенном исполнении. Если что, записи и поля записей и в операционных системах есть, так-то.
Цитата
Vitaly Bondarew пишет:
Beds, ну если так хочется чего-нибудь сертифицированного - декларируете соответствие своей программы
Дело не в том, что мне хочется =) А в том, чтобы выполнить требования к классу защищенности 1Г (например) или выполнить требования приказа ФСТЭК № 21.

А декларировать соответствие вы имеете ввиду провести сертификацию или просто написать условную бумажку - "Декларация соответствия" и этим ограничиться и считать, что требования по разграничению доступа мы закрыли.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку