Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 8 След.
Ответить
RSS
Нужно ли использовать в ИСПДн программы сертифицированные ФСТЭК?, Нужно ли использовать в ИСПДн программы сертифицированные ФСТЭК?
В организации есть ЛКС в которой функционируют несколько баз данных, в этих базах обрабатываются ПДн 2 и 3 классов (ПДн позволяющие идентифицировать владельца ПДн и получить о нем дополнительную информацию).
Нужно ли нам использовать программы (ОС, межсетевой экран, антивирус, базы данных (1С 8.2), MS Office? средства обнаружения вторжений, средства выявления уязвимостей) имеющие сертификат ФСТЭК? Или можно использовать программы не имеющие данного сертификата?
Нужно использовать сертифицированные средства защиты информации (программные и (или) технические). Базы данных и др. - на Ваше усмотрение.
AlexG,
А как вы можете прокомментировать информационное сообщение ФСТЭК п.1 ссылаясь на ПП 330 говорится о необходимости их использования в обязательном порядке. (к сожалению в живую документ ПП 330 не видел).
В соответствии с Приказом 58 от 5.02.2010 г. п.2.12 для класса К2 и К3 необходимость использования сертифицированных средств определяется оператором.
Разногласие получается ведь в данном случае.
Цитата
J_ss пишет:
В соответствии с Приказом 58 от 5.02.2010 г. п.2.12 для класса К2 и К3 необходимость использования сертифицированных средств определяется оператором.
Да откуда же вы это взяли??
Уже не первый раз читаю и поражаюсь, как можно извернуть то, что написано.
А написано там так:
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом)

Здесь речь идёт про контроль отсутствия НДВ, а не про сертификацию. И не вводите людей в заблуждение.


Дмитрий, как написал AlexG, только СЗИ д/б сертифицированы - то, что по вашей модели угроз является защитой от возможных угроз. А всё остальное ПО - нет.
Спасибо...кажется понял.
Надо иметь сертифицированные средства: антивирусы, межсетевые экраны, средства обнаружения вторжений, выявления уязвимостей, и если защищаещься средствами ОС то и операционка должна иметь сертификат ФСТЭК.
Базы данных: Парус, 1С и тд, программы отчетности можно применять не сертифицированные ФСТЭК.
Если не так то поправьте пожалуйста! :D
Дмитрий, всё правильно. А вот если бы вы вышли на ИСПДн 1 класса, то и БД пришлось бы использовать сертифицированную и все СЗИ должны были бы иметь дополнительно сертификат на отсутствие НДВ.
Правда учтите ещё 1 момент - системы обнаружения вторжений и анализа защищенности вам нужны только если у вас есть подключение к сетям общего пользования.
Изменено: Михаил - 20.06.2012 13:08:02
Спасибо! У нас есть подключение к интернет нашей локальной сети...Плохо одно все базы крутятся в одной локальной сети и поидее к ним может получить доступ любой компьютер в этой локальной сети....да плюс еще директор планирует вводит электронные истории болезней...Это же автоматом нас в 1 категорию переводит.
Так что думаю как бы ото дело разграничить, коммутаторы с поддержкой подъсетей поставить??? Или вообще отдельную локалку делать для каждой базы данных??? Затратно получается...
Если будете делать VLAN на коммутаторах, то это сетевое разграничение доступа, т.е. функция СЗИ - надо будет проводить сертификацию прошивки коммутатора (некоторые этого не делают, но в случае проверки, если регулятор окажется компетентным, то заставят сделать). Можете поставить персональные МЭ на машины, которые будут входить в состав ИСПДн, и закрывать доступ к АРМ и серверу БД машинам, которые не входят в ИСПДн. Кроме того, как я понял Интернет у вас уже есть, а значит вы уже используете МЭ (для разграничения доступа к Интернет) - если он у вас сертифицированный, то можете просто вынести все машины с ИСПДн в отдельный контур и подключить его к этому МЭ на отдельный сетевой интерфейс. И вот ещё какой момент - если у вас на одном сервере БД крутятся и БД ИСПДн и другие БД, то надо или применять сертифицированную СУБД для гарантированного разграничения доступа на уровне БД или разносить эти БД на разные сервера.
Спасибо....учту. У нас есть корпоративный межсетевой экран но он не сертифицирован ФСТЭК (Kerio Control), но к нему можно докупить эту лицензию...производитель сказал без проблем.
Мы разграничиваем доступ к интернету этим межсетивиком....десять ПК имеет доступ остальные нет.
Если используется сертифицированная ОС, можно ли ее встроенным фаерволом обойтись?
Просто пока не знаю как такое провернуть...(Интернет у вас уже есть, а значит вы уже используете МЭ (для разграничения доступа к Интернет) - если он у вас сертифицированный, то можете просто вынести все машины с ИСПДн в отдельный контур и подключить его к этому МЭ на отдельный сетевой интерфейс.).
Проводить контроль защищенности сети необходимо серт.средствами типа ревизор или можно какими нибудь другими?
Насчет Kerio - да можете просто докупить пакет сертификации. Только смотрите, чтобы версия Kerio, которую вы юзаете совпадала с той версией, которая будет указана в сертификате, иначе он не действителен.
Насчет встроенного в ОС межсетевого - нет, этот компонент в Windows не проходил сертификацию.

Цитата
Гость пишет:
Просто пока не знаю как такое провернуть...(Интернет у вас уже есть, а значит вы уже используете МЭ (для разграничения доступа к Интернет) - если он у вас сертифицированный, то можете просто вынести все машины с ИСПДн в отдельный контур и подключить его к этому МЭ на отдельный сетевой интерфейс.).

А в чем проблема? Технически это сделать несложно. По затратам только закупка нового коммутатора (чтобы не было связи со старым и не пришлось юзать VLAN) + работы по перекоммутации и небольшой перенастройке (смена IP-адресов)
Цитата
Alexandro пишет:
Проводить контроль защищенности сети необходимо серт.средствами типа ревизор или можно какими нибудь другими?

Средства анализа защищенности в 58 приказе указаны среди применяемых средств защиты информации. Думаю дальше объяснять не надо :)
Мы как раз и хотим прикупить пару коммутаторов 3 уровня...а то у нас стоят не управляемые да еще и в легко доступных местах (УЖас!). При помощи них сделать чтобы в локалку вход имели доступ только свои ПК...(по MAC адресам идентифицировать) ну и вот может попробуем разграничить доступ пользователей.
Только опять есть один нюанс....Все ПК в локалке должны иметь доступ к базе где хранятся ПДн 2 категории. Так что вот диллема получается.... Пока не знаю как буду это разгребать...непонятно.
Сервер один...на нем все базы данных крутяться...есть еще один...на нем межсетевой экран стоит и антивирусный модуль....он раздает интернет и антивирус в локальной сети контролирует.
Вместо сертифицированной БД и если разнести сервера БД нет никакой возможности, то можно юзать Imperva - сертифицированное средство разграничения доступа на уровне БД, но оно только до 2 класса ИСПДн

А вообще не торопитесь пока, в июле выйдет новая нормативка по ПД, исходя из неё уже все и построите.
Спасибо за ответы. Жду как эту нормативку...но поменяется ли в ней что то....не уверен.
Пока антивирусник с лицензией закупили, Для ОС лицензии приобрести планируем....то же и с межсетевиком.
Какие средства обнаружения вторжений ставить еще не решили...да и с программами обнаружения уязвимостей тоже пока застой. Может посоветуете что нибудь из этих программ?
Цитата
Михаил пишет:
Цитата
Alexandro пишет:

Проводить контроль защищенности сети необходимо серт.средствами типа ревизор или можно какими нибудь другими?



Средства анализа защищенности в 58 приказе указаны среди применяемых средств защиты информации. Думаю дальше объяснять не надо

для госов понятно что должны быть серт-ваны.

но для коммерсов неужели тоже?

:evil:
2Alexandro По поводу использования сертифицированных средств защиты для ИСПДн уже 100 раз все обмусоливали, почему же по поводу средств анализа защищенности у вас возникают вопросы. Или они что не средства защиты? :)
2Дмитрий Вы все время путаете понятия лицензии и сертификата. Лицензия - это документ, подтверждающий право на обладание или деятельность. А сертификат - это документ, подтверждающий соответствие требованиям.
Насчет системы обнаружения атак - если выделенные решения то StoneGate IPS, но они дороговаты. Если решения на уровне хоста - то есть продукт Кода Безопасности, не помню точно как называется (в нем кстати и антивирус встроенный есть, так что может быть вы поторопились).
Среди средств анализа защищенности предпочитаю использовать продукты Positive Technologies, хороший функционал, русский интерфейс.
Вот только лицензия ФСТЭК на ТЗКИ у вас есть, чтобы проектировать систему защиты и эксплуатировать её потом, она нужна.
Цитата
Михаил пишет:
2Alexandro По поводу использования сертифицированных средств защиты для ИСПДн уже 100 раз все обмусоливали, почему же по поводу средств анализа защищенности у вас возникают вопросы. Или они что не средства защиты?


нет я просто возмущаюсь и yahoo... ею от требований :evil:

Михаил скажите в Xpider лицензируется кол-во IP адресов и лицензия на год,потом за 30 процентов продлять нужно?

Если появится необходимость проверить большее количество ПК нужно дополнительно покупать лицензии ?

спасибо
Цитата
Alexandro пишет:
Михаил скажите в Xpider лицензируется кол-во IP адресов и лицензия на год,потом за 30 процентов продлять нужно?

Да, причем при закупке лицензии вас попросят указать все адреса, которые вы будете проверять. Стоимость обновления не помню, по-моему у них на сайте она выложена.

Цитата
Alexandro пишет:
Если появится необходимость проверить большее количество ПК нужно дополнительно покупать лицензии ?

Тоже не могу вам точно сказать, уточните у менеджеров
Страницы: 1 2 3 4 5 ... 8 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку