Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Как обеспечить УЗ-1 ПДн на Windows?
День добрый. По пп 1119 получается необходимо обеспечить 1-УЗ, т.к. ИСПДн обрабатывает иные ПДн, и актуальны угрозы 1-го типа (Windows не имеет сертификата на НДВ) можно выкрутиться через актуальность, но это какой-то будет ход конем. Хотелось бы по нормальному.
Так вот, по сообщению №240/24/4893 при УЗ-1 необходимо использовать ОС 4 класса защиты (хотя в приказе №21 написано противоположное: "в ИС 1-УЗ ПДн применяются СЗИ не ниже 4 класса, а также СВТ не ниже 5 класса;"), а у Windows только 5-й класс.
Как быть? Ставить астра линукс в обычную контору какой-то бред. Может можно поставить какую-то штуку на Windows сверху?
Цитата
Сергей Лузик пишет:
Как быть? Ставить астра линукс в обычную контору какой-то бред. Может можно поставить какую-то штуку на Windows сверху?
От НСД ставите, например, наложенное средство Dallas Lock-K от ООО Конфидент, сертифицированный ФСТЭК. Обеспечивает собственными средствами дискреционного доступа. :evil:
Цитата
Сергей Лузик пишет:
По пп 1119 получается необходимо обеспечить 1-УЗ, т.к. ИСПДн обрабатывает иные ПДн, и актуальны угрозы 1-го типа (Windows не имеет сертификата на НДВ)
Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы :D
Цитата
Настя пишет:
Цитата
Сергей Лузик пишет:

По пп 1119 получается необходимо обеспечить 1-УЗ, т.к. ИСПДн обрабатывает иные ПДн, и актуальны угрозы 1-го типа (Windows не имеет сертификата на НДВ)
Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы
Формально, достаточным основанием считать, что угрозы 1 (или 2) типа
неактуальны для любой организации - это наличие сертификата ФСТЭК на отсутствие недекларированных возможностей в системном (прикладном) ПО. Настя, не вводите в заблуждение форумчан. Содержательно, даже наличие сертификата не гарантирует отсутствие закладок.
Цитата
Сергей Терехов пишет:
Формально, достаточным основанием считать, что угрозы 1 (или 2) типа
неактуальны для любой организации - это наличие сертификата ФСТЭК на отсутствие недекларированных возможностей в системном (прикладном) ПО. Настя, не вводите в заблуждение форумчан. Содержательно, даже наличие сертификата не гарантирует отсутствие закладок.
Сергей, если подходить формально, без здравого смысла, то трудно будет выполнить все требования)))
Почитайте хотя бы это https://lukatsky.blogspot.com/2013/07/17-21.html
Цитата
Настя пишет:
Сергей, если подходить формально, без здравого смысла, то трудно будет выполнить все требования)))
Почитайте хотя бы это https://lukatsky.blogspot.com/2013/07/17-21.html
Настя, к сожалению здравый смысл у каждого свой. Итак.
«Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе» - ПП.
Чтобы понять актуальны ли угрозы 1-го типа, надо вначале узнать есть ли недекларированные возможности в системном программном обеспечении (СПО). Если их нет, то нет угроз, направленных на то, чего нет, и, следовательно, не могут быть актуальными то, чего нет. Если недекларированные возможности есть, то они могут быть как актуальными, так и не актуальными для конкретных ИСПДн (и конкретных экспертов, осуществляющих моделирование гроз).
Если на СПО есть сертификат, то возникает некоторая уверенность в отсутствии недекларированных возможностей и по форме и, по существу. По форме – все сделано в соответствии с НПА, по существу – оправдана экономия ресурсов на средствах защиты.
Если сертификата нет и применяется не проверенная копия СПО, то необходимо для отказа от актуальности найти какие-то вразумительные доводы, кроме «Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы», даже сославшись на мнение Лукацкого. :cry:
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку