Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Что такое однопользовательская ИС?
Простите за настйчивость....может неверно сформулировала вопрос,но- где найти точное определение что есть однопользовательская система.Не могу убедить начальство что все наши ИСПДны являются многопользовательскими.
Цитата
N N пишет:
где найти точное определение что есть однопользовательская система.Не могу убедить начальство что все наши ИСПДны являются многопользовательскими.
См. "Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированнх систем и требования по защите информации" (РД АС)

"1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А."
Изменено: toparenko - 08.02.2010 10:54:22
Цитата
toparenko пишет:
Первая группа включает многопользовательские АС
Спасибо за ответ. Видимо определение однопользовательской АС является ссылка на третью группу. Хм...как-то весьма размыто мне кажется....
Цитата
N N пишет:
Видимо определение однопользовательской АС является ссылка на третью группу.
Да
Цитата
N N пишет:
Хм...как-то весьма размыто мне кажется....
Все остальные деления основываются именно на данном РД. Как, впрочем, и требования к ним - хоть в СТР-К, хоть в 4-х книжии, хоть в проекте приказа ФСТЭК (который недельку повисел в открытом доступе)
Мне вот тут такое определение дали:
Однопользовательский режим информационной системы -
когда с ней работает только один пользователь и пароли доступа не нужны.
Случай достаточно редкий.
Пример - отдельный АРМ для отправки данных персонализированного учета в
налоговую и пенсионный фонд,
если к этому АРМ имеет доступ только один бухгалтер.

Многопользовательский режим с одинаковыми правами доступа - общий доступ.

Многопользовательский режим с разными правами доступа - доступ нескольких
пользователей по паролям с разными правами
(администратор, привилегированный пользователь, обычный пользователь и др.),
или с другим разграничением прав доступа
(например, когда каждый пользователь имеет доступ только к своей папке "Мои
документы").
примерно похоже
Цитата
N N пишет:
Мне вот тут такое определение дали:
Пусть укажут на каком документе основывались ;)
Цитата
N N пишет:
Однопользовательский режим информационной системы -
когда с ней работает только один пользователь и пароли доступа не нужны.
Случай достаточно редкий.
Противоречит РД АС по парольной политике. Даже если рассматривать защищенное помещение со сторого ограниченным доступом.

Случай однопользовательской АС не редкий - годаздо реже 2-й класс (многопользовательские с равным доступом)

Цитата
N N пишет:
Пример - отдельный АРМ для отправки данных персонализированного учета в
налоговую и пенсионный фонд,
если к этому АРМ имеет доступ только один бухгалтер.
Обслуживание (установку ПО, наладку, периодические настройки/перенастройки, и т.д. и т.п.) этого компьютера производит тоже бухгалтер?
Про ключевую дискету забыли (бардак с ее хранением и хранением ее резервных копий не рассмартиваю)?
Цитата
toparenko пишет:
Обслуживание (установку ПО, наладку, периодические настройки/перенастройки, и т.д. и т.п.) этого компьютера производит тоже бухгалтер?
таким образом, по вашей логике- все ИСки становятся многопользовательскими?
Однопользовательская ИС - такая в которой один пользователь и он же выполняет функции администратора
всё остальное - многопользовательское
Цитата
Гость пишет:
Однопользовательская ИС - такая в которой один пользователь и он же выполняет функции администратора
всё остальное - многопользовательское
Соглашусь...и потому определю все Иски (кроме транспортных и отчетных - напрямую в ИФНС и проч.инстанции) многопользовательскими.
А если пользователей несколько, но они заходят под одним логином в разное время? Это тоже многопользовательская?
Нельзя заходить под одним логином (если речь идет о аттестованной АС), посмотрите Руководящий документ
Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации.

Кстати, даже в СТР-К написано,
5.1.8. При рассмотрении и определении режима обработки данных в АС учитывается, что индивидуальным (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации и ее носителям допущен только один пользователь.
Режим, при котором различные пользователи, в т.ч. обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный.
Индивидуальным режимом работы считается также последовательный во времени режим работы различных пользователей и обслуживающего персонала, при котором в АС физически отсутствует информация других пользователей. В противном случае такой режим работы считается многопользовательским.
Цитата

Индивидуальным режимом работы считается также последовательный во времени режим работы различных пользователей и обслуживающего персонала, при котором в АС физически отсутствует информация других пользователей. В противном случае такой режим работы считается многопользовательским.

А у меня и есть "последовательный во времени режим работы различных пользователей и обслуживающего персонала"!
И во время их работы "в АС физически отсутствует информация других пользователей", потому что все пользователи имеют равные права доступа ко всей информации (полный доступ).
Т.е. многопользовательский режим - это обязательная одновременная работа пользователей?
kils, вы ошиблись
СТР-К, 5.1.8
"При рассмотрении и определении режима обработки данных в АС учитывается, что индивидуальным (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой системы допущен только один пользователь.
Режим, при котором различные пользователи, в т.ч. обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный. Коллективным режимом работы считается также и последовательный во времени режим работы различных пользователей и обслуживающего персонала."

Значит, такой последовательный режим все-таки многопользовательский.
Владимир, Вы меня не так поняли)
Я не ошибся, т.к. и не оспаривал то факт что "Коллективным режимом работы считается также и последовательный во времени режим работы различных пользователей и обслуживающего персонала." =)

Я оспаривал вход по одним логином разных пользователей - это действительно запрещено.

Т.е.
"Нельзя заходить под одним логином (если речь идет о аттестованной АС), посмотрите Руководящий документ
Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации."

было адресовано к

"А если пользователей несколько, но они заходят под одним логином в разное время? Это тоже многопользовательская?"
Конечно же много пользовательская, просто аходить под одним логином нельзя.

А выдержка текста из СТР-К была приведена мною, чтобы внести ясность что-же такое одно/многопользовательские системы.
Да у вас в выдержке опечатка - в последнем абзаце "Индивидуальным режимом".
Владимир, да Вы правы, извиняюсь что ввел в заблуждение, не сразу заметил различие в своей и в Вашей выдержках, но в моем СТР-К именно так написано:

"Индивидуальным режимом работы считается также последовательный во времени режим работы различных пользователей и обслуживающего персонала, при котором в АС физически отсутствует информация других пользователей. В противном случае такой режим работы считается многопользовательским."

Быть может чуток другая версия...не знаю.
Наверное напишу во ФСТЭК по поводу получения официальной версии.
Изменено: kils - 26.02.2010 15:03:53
У меня от 2001 г.
Интересные различия.
"СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
(СТР-К)
Одобрены решением коллегии Гостехкомиссии России от 2 марта 2001г. № 72"
Москва
2002 г.

У меня такие.
Страницы: 1
Читают тему (гостей: 5, пользователей: 0, из них скрытых: 0)