Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 След.
Vipnet Custom
Как МЭ - можно. И жевать нечего.
Как СЗИ от НСД - надо заморачиваться и все зависит от ситуации.
А оно надо?
СЗИ для К3
Все расписал: http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=6&TID=609&MID=12098#message12098

Вопросы?
Средства защиты для 3 класса по Приказу ФСТЭК 58
Данный выше перечень СЗИ избыточен и нецелесообразен. Хватит уже равняться на него.

Типовой состав СЗИ для ИСПДн К3/2 может выглядеть так:

С применением внешних СЗИ:
1. СЗИ: Security Studio, Панцирь-К. Главное отличие - цена. Узнайте у производителей ценник и выбирайте любой другой по сопоставимой цене.
2. Тест-программы: XSpider 7. Данный класс не является СЗИ, поэтому считаю, что они не должны быть сертифицированными. Можно подумать над Microsoft Baseline Security Analyzer (http://technet.microsoft.com/ru-ru/security/cc184923.aspx).
3. МЭ: UserGate Proxy & Firewall. Достойный кандидат по соотношению цена/качество и сертификат на МЭ есть.

На основе ОС Виндовс:
1. В роли СЗИ выступают встроенные механизмы ОС. Единственная загвоздка тут: проверка по контрольным суммам при загрузке. В штатном наборе Виндовс такого вроде нет. Хотя может есть в комплекте с сертифицированной версией. Хотя можно найти простую утилитку для подсчета контрольных сумм.
2-3. Аналогично.
Что использовать для К3
Цитата
Владимир Юрьевич пишет:
вы ничего не напутали в цифрах? может 687?

Все верно, бес попутал. Конечно же ПП № 687 "Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Ведь Вы заявляете, что у Вас неавтоматизированная обработка, значит будте добры выполнять требования данного положения.

Пытаясь применить положения приказа ФСТЭКа № 58, Вы ставите под сомнение выше названное утверждение. И при этом необходимо выполнять ПП № 781 "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Кто-то чтобы не выполнять эти требования "уходит" в неатоматизированную, а Вы уже вроде и согласились, но хотите исполнять требования приказа № 58. Где логика?

Поэтому тут два решения:
1. Вы точно решаете, что обработка ПДн на ПК неавтоматизированная и выполняете ПП № 687 (защиту конечно можно обеспечить защиту данных, но уже так, как сами решите т.к. тут нет регламентирующих документов);
2. Вы меняете свое мнение в сторону автоматизированной обработки и тогда есть смысл говорить о выполнении требований ПП № 781 и положений приказа № 58 для ИСПДн К3.

Надеюсь я доступно изложил свою мысль.
Что использовать для К3
Приказ ФСТЭКа № 58 относится к автоматизированной обработке, как и ПП № 781, в соответствии с которым и утвержден приказ № 58. Поэтому, раз Вы говорите, что "уже выяснено что у нас неавтоматизированная обработка", можете его даже не читать и не опираться на него.

Получается Вам нужно выполнить требования ПП № 681 и все.
MЭ и Антивирус для ИСПДн К1, MЭ и Антивирус для ИСПДн К1
Цитата
Анна пишет:
Получается, что обойтись одним ViPNet Координатором как МЭ в ИСПДн К1 не получится?

Получается, что так. Но только не из-за особенностей описанных в формуляре (это еще надо уточнять), а из-за отсутствия нужного сертификата ФСТЭК на данный продукт.

И еще: "ViPNet Coordinator (Координатор) – это общее название линейки программного обеспечения, выполняющего функции универсального сервера защищенной сети ViPNet . В зависимости от настроек ViPNet Coordinator может выполнять следующие функции: ...". Так что может Вы не ту документацию читаете?

ViPNet CUSTOM (№ 1549/1, 1549) - да, видимо можно и в ИСПДн К1 использовать.
MЭ и Антивирус для ИСПДн К1, MЭ и Антивирус для ИСПДн К1
Цитата
Константин пишет:
Дальше по тексту перечисляются требования,если сравнить с документами по классификации мэ,то перечисленным требованиям соответствует 3 класс защищенности мэ.

Выпустил из виду про какой класс защищенности Вы толкуете :). Да, все верно если сравнивать требования приказа № 58 к МЭ (п. 4.4) и требования РД по МЭ. Но раз в приказе № 58 требования к МЭ расписаны и не просто одно "использовать МЭ 3го класса защищенности", то значит это не спроста.

Получается имеем два варианта: 1. взять готовую коробочку с сертификатом на 3 класс защищенности по МЭ, либо 2. собрать требуемую комбинацию самому на основе нескольких сертифицированных средств.

В случае использования нами UserGate Proxy & Firewall мы получаем в. 2. Как отдельный МЭ мы использовать его не можем, но как составляющую комплекса для защиты ИСДПн К1 - вполне.

Что скажете, Константин, такой вариант приемлем?

Анализируя возможности UserGate Proxy & Firewall и требований ФСТЭКа можно выявить отсутствующие компоненты: работа с VPN и методы осуществления аутентификации входящих и исходящих запросов. Получается вот именно эти требования и надо перекрывать другими сертифицированными средствами или дополнениями к МЭ. Надо бы уточнить у разработчиков, что они думают на этот счет.
MЭ и Антивирус для ИСПДн К1, MЭ и Антивирус для ИСПДн К1
Цитата
Константин пишет:
UserGate не может выполнять всех требования как мэ при создании СЗИ для ИСПДн К1, он выполняет только требования для 4 класса защищенности и это четко прописано в его сертификате №2076, при этом несколько смущает фраза "может использоватся при создании СЗИ до ИСПДн К1 включительно", вопрос - в качестве чего он может использоваться и что он будет делать? При создании ИСПДн К1 используется только мэ сертифицированный по 3 классу защищенности! Может вы другой сертификат читаете?

1. Откуда взялся 3й класс защищенности? Для ИСПДн К1 есть требование только к контролю НДВ - п. 2.12 приказа № 58.
2. Вы недочитываете до нужного места (или путаете два понятия). Внимательно: по ОУД2, по 4 классу защищенности, по 4 уровню контроля НДВ.
3. 4 уровень НДВ есть и хорошо т.к. 4 - для конфиденциальной информации, 3-1 для секретки (ГТ). А нам больше и не надо.
MЭ и Антивирус для ИСПДн К1, MЭ и Антивирус для ИСПДн К1
Цитата
Oleg пишет:
А зачем именно серверную винду?
Хм.
Можно и Хоум поставить, если лицензионное соглашение позволяет. Но я не пробовал.
Учет USB носителей в СЗИ от НСД, Учет USB носителей в СЗИ от НСД
Цитата
Константин пишет:
Вопросов нет, есть задача, не давать пользователям вставлять, не служебные флешки в свои ПК, страж-nt умеет это делать,но больно дороговат, а secretnet умеет вести учет съемных носителей?

Что Вы подразумеваете под "вести учет съемных носителей"? Да, СЗИ блокирует не прописанные ранее флешки в аппаратной конфигурации, кажется там даже полномочия доступа к разным флешкам можно задать. Да, он выполняет описанные Вами требования.
Тех задание
Цитата
Александр Масленников пишет:
Добрый день!

Вопрос: Стоит ли заморачиваться с написанием тех. задания и проектом на создание СЗПДн в собственных целях для самих себя! Я знаю что можно и не писать т.к. таковых требований к ИСПДн нет. Но что лучше написать или же нет?

За ответ за ранее благодарен!

Необходимость в ТЗ каждый определяет для себя сам. ТЗ - это отправная точка, по которой Вы будете в последующем отчитываться. Можно написать ТЗ, можно ссылаться сразу на нормативную базу. Все зависит от Ваших взаимоотношений с теми, кто будет принимать СЗПДн в эксплуатацию.

ТЗ - это прихоть заказчика, но обычно и для разработчика оно полезно - подстраховка, потом можно смело доказывать свою правоту.
Тех задание
Цитата
Oleg пишет:
Достаточно ли сделать только техническое задание без эскизных проектов и т.д.?

А смысл писать ТЗ, если не будет документа, подтверждающего выполнение поставленных требований?
Эскизный проект можно и не писать, если система простая. Сразу технорабочий.

И что Вы подразумеваете под "и т.д."?
Аттестация, техзадание, ответ ФСТЭК по аттеастации, техзадание на аукцион
1. Раз ответили, что не нужна, какие еще могут быть вопросы? И про какой класс ИСПДн была речь в письме и были какие-то ссылки на нормативные документы?

2. Не нужно. Есть рекомендации в СТР-К, но если не будет ТКУИ в модели угроз, то и СИ проводить нет смысла.
по Архиву, имеем ли мы право аттестовать коммерческий архив?
Не понятно, что Вы хотите сказать. И кажется Вы тут путаете некоторые понятия.

Но основную мысль, кажется понял - что делать с архивом?

Ничего, если это и правда архив и есть тому юридическое подтверждение. Читайте законы об архивном деле и достаточно. А ФЗ № 152 и правда не распространяется на архивы, значит и все подзаконные акты отпадают.
Разбиение ИСПД с количеством ПД больше 100000
Цитата
Newby пишет:
Пример раздутый, согласен. Но это одна из причин, почему я придерживаюсь каноничного мнения - класс у системы один, и определяется он только объемом и категорией.

Пример не относится к теме нашего обсуждения.

Вы придерживаетесь мнения "строим систему защиты исходя из потенциального ущерба субъекту ПДн", а не от объема. Не обманывайтесь.

Мы говорим про приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Класс специальной ИСПДн устанавливается оператором самостоятельно исходя из предполагаемого ущерба субъекту и прочих данных. Поэтому как Вам нравится, так и поступайте никто особых претензий предъявлять не будет.
Разбиение ИСПД с количеством ПД больше 100000
Перечитайте п. 8, 14 и особенно 16 порядка классификации.
С таким набором ПДн нет смысла особо напрягаться и кроить много мелких ИСПДн.
Сделайте одну ИСПДн специальную 2 класса.

И что значит льготная категория? Как это отображено в Вашей БД?
Программный продукт для кадрового учета, Вопросы по лицензированию?
Цитата
Михаил пишет:
По поводу больничных - в нашей системе больничные листы хранят только только серию, номер, период нетрудоспособности и причину без диагноза (травма в быту, произв. травма и т.п.) - отсюда и неясность, относить это к медицине или нет. А ИСПДн содержащие медицинские данные, как я понимаю, в любом случае попадают под К1?
Больничные листы, это те которые в кадровом учете используются? Если они, то я считаю, что это не мед. сведения и можно спокойно от К1 уйти.
Правильно понимаете, если есть мед. сведения, то ИСПДн К1. Хотя можно и пожульничать через специальные ИСПДн. Все зависит от ущерба субъекту ПДн.

Цитата
Михаил пишет:
А если мы все-таки захотим сертифицировать свой программный продукт, нужно будет проходить сертификацию на недекларированные возможности, на защиту данных и получать лицензию на создание средств защиты ИСПДн. Но зато облегчаем жизнь клиентам, я правильно понимаю?

Ага.
Если у Вас кадровая система (а это 99% случаев К2-К3), то сертификацию на НДВ можно и не проходить. Можно просто на ТУ.
По сертификации я не советчик, попробуйте спросить на Datum'e, там есть спецы по этому вопросы.
Но разве у вас само ПО занимается разграничением доступа, а не СУБД? Зачем лишний раз заморачиваться? Хотя Вам, как разработчикам, видней.
Программный продукт для кадрового учета, Вопросы по лицензированию?
Если функции обеспечения безопасности Вы возложите на СУБД MS SQL, то можно будет взять сертифицированную версию и все будет хорошо. Тогда Ваше ПО - прикладное ПО, для обработки ПДн и особых требований к нему не предъявляется.
Исходя из этого, получаем такие ответы:

0. Если система кадровая, то вне зависимости от объема данных - это ИСПДн К3. Читайте внимательно п. 7 порядка классификации.
1. Описал выше. Вашего - нет, если средства защиты возложены на СУБД, а вот СУБД - да, но она уже сертифицирована.
2. Нет. Если только не К1, и то это вопрос еще *WOW* .
3. Так сразу не скажу. Надо подумать. Вдруг у кого еще мысли возникнут.
4. п. 17 ПП № 781 обязывает разработчика заниматься заморочками с обеспечением безопасности в своих продуктах.
5. Мои - да. А Ваши? Может мы о разном говорим. Что там написано? МКБ-10 хотя бы есть?
Выделенный канал
Цитата
Oleg пишет:
Оборудование собственность провайдера Motorola Canopy.

В любом случае, Вы должны понимать, что канал является общедоступным (любой может поставить приемник по пути сигнала и слить весь трафик). Так что только шифрование. Либо отказ от канала :), либо оптику в землю (если расстояние не большое и можно контролировать периметр).
Как обеспечить?
Цитата
Гость пишет:
DeviceLock может это обеспечить

Заодно и флешки закроете

Ну SN (да и остальные) флешки тоже умеет "закрывать".

Для полноты картины добавлю: Zlock.
Страницы: 1 2 3 4 5 6 След.