20 сентября, четверг 10:43
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Требования ИБ для серверной

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Требования ИБ для серверной

    Здравствуйте, подскажите, пожалуйста, требования ИБ для серверой!
    Есть железная дверь с электромагнитным замком, решетки на окнах, сплит.
    Вроде есть ГОСТ, дайте, пжл, ссылку на документ.
    А может есть требования других учреждений?

  • #2
    Газовая система пожаротушения.
    сплита надо два - для резервирования.

    Комментарий


    • #3
      Может это подойдет.
      Откуда взято - хз )

      Комментарий


      • #4
        Сообщение от exploit Посмотреть сообщение
        Здравствуйте, подскажите, пожалуйста, требования ИБ для серверой!
        Есть железная дверь с электромагнитным замком, решетки на окнах, сплит.
        Вроде есть ГОСТ, дайте, пжл, ссылку на документ.
        А может есть требования других учреждений?
        ГОСТов на эту тему нет.
        Какие-то моменты описаны в СТР-К, но в целом этот документ бредовый.

        Комментарий


        • #5
          to box_roller Спасибо! Полезная вырезка.
          Есть Санпин нормы, а по безопасности???? Может что-то от ЦБ проскакивало?

          Комментарий


          • #6
            Достаточно ли для обеспечения ИБ следующего:
            - заземление
            - наличие доп.источника питания
            - удалить из помещения все транзитные кабели, вых-ие за пределы КЗ
            - отсутствие труб (отопление)
            - защите сети от воздействия моний (молниеотвод, помехоподовляющие фильтры)
            - защита от проникновения и утечки в диапазоне НЧ и ВЧ
            - датчик сигнализации несанкционированного проникновения внутрь шкафа, с выдачей аварийного сигнала на центральный пульт
            - система технологической связи
            - наличие окна (не рекомендуется иметь) с решетками
            - сервера не располагаются рядом с внешней стеной
            - дверь железная с кодовым замком и деревянная с електромеханическим замком (сис-ма контроля доступа)
            - присут-ет пожарная сигнализация (автомат.сис-мо пожаротушения отсут.)
            - толщина стен обычная, ничем не усиленная и пр.
            - табличка "серверная" присут. (реком-ся не выделять по внешнему виду дверь)

            Подскажите, что я упустил?????
            Дайте ссылки на ГОСТЫ, РД какие противопожарные средства должны быть, по эл.питании, САНПИН нормы и прочее

            Комментарий


            • #7
              Требования к помещениям с ЭВМ
              Согласно СН 512-78 (Инструкция по проектированию зданий и помещений для ЭВМ.М: Стройиздат, 1977) и СанПин2.2.2.542-96 (Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам, организации работы: Санитарные правила и нормы. -М.: Информационно-издательский центр Госкомэпиднадзора России, 1996. - 65с.) здания ЭВМ следует размещать с наветренной стороны ветров преобладающего направления по отношению к соседним предприятиям, являющимися источниками выделений вредных веществ и пыли. Помещения ЭВМ должны располагаться не выше 5 этажа и не в подвалах.

              Высота помещений для расположения ЭВМ должна быть 3,6 м, в учебных заведениях не менее 4 м, а для остальных помещений не менее 3,3 м. Естественное освещение должно осуществляться через светопроемы, ориентированные преимущественно на север и северо-восток. Площадь на одно рабочее место с ВДТ или ПЭВМ должна составлять не менее 6 кв. м, а объем - не менее 20 куб. м, а в учебных заведениях соответственно не менее 6 кв. м и 24 куб. м. Перегородка между залом ЭВМ и помещением внешних запоминающих устройств должна быть несгораемой. В этих залах ЭВМ должно предусматриваться автоматическое пожаротушение. Включение установок автоматического пожаротушения должно осуществляться автоматически от извещателей, реагирующих на появление дыма, например ДИП-1.

              а вот еще ссылочка http://www.ca-pro.ru/serverroom - но это не ГОСТ и не СНиП
              Последний раз редактировалось George-on-Don; 23.11.2007, 08:44.
              Мы продолжаем делать то, что мы уже много наделали

              Комментарий


              • #8
                Жорж, я вас умоляю. Строительная инструкция 77-го года рассчитана на сервера выпуска 70-75 годов. Вам напомнить, как они тогда выглядели? Там очень много руками паять приходилось, отсюда и ограничения по розе ветров и высотности.

                Что касается санитарных норм - они описывают размещение рабочие мест. Разрабатывалась она, кстати, в те же 70-е, отсюда и "залы ЭВМ" и "помещения ВЗУ". Тот же самый извещатель ДИП-1 разработан под ТУ 78-го года.

                Так что про эти доки лучше забыть и перед руководством не позориться - не поймут.

                Комментарий


                • #9
                  Ну хоть нидь полезное там можно вычитать- в условиях полного отсутствия действующих нормативных документов на сегодня))
                  Мы продолжаем делать то, что мы уже много наделали

                  Комментарий


                  • #10
                    То есть этого достаточно для соответсвия нормам ИБ?!

                    А как и спомощью чего проверить на уязвимости серверов? С помощью паука?

                    Комментарий


                    • #11
                      Сообщение от exploit Посмотреть сообщение
                      То есть этого достаточно для соответсвия нормам ИБ?!

                      А как и спомощью чего проверить на уязвимости серверов? С помощью паука?
                      Для соответствия нормам ИБ вам не нужно использовать бумажки, утвержденные советом министров СССР в лохматых годах. Будет достаточно, если вы скопируете документ, ссылку на которую любезно привел Жорж, а ваше руководство его утвердит.

                      Паук - штука хорошая, но толку от него мало. Уязвимость - это ведь не только незакрытые порты или слабые пароли, жто еще и плохая конфигурация серверов. Если у вас сервера виндовые, я бы предложил в пару к пауку Microsoft Baseline Security Analyzer, а сам я предпочитаю Nessus.

                      Но если вы просто формально галочку поставить хотите, паука хватит выше крыши

                      Комментарий


                      • #12
                        Спасибо! ссылку сохранил.
                        Дело в том, что у нас серверная давно функционирует. Я сам пришел недавно (2,5 мес. назад) ее до меня конструировали.
                        Мне приказали проветси "проверку серверной комнате на соответствие нормативным документам по ИБ" - слова шефа

                        В скором времени проведет проверку стороняя организация для аттестации сети по категории 4 б

                        Комментарий


                        • #13
                          "получение сертификата разработки производства, реализации и эксплуатации шифровальных средств, а также предостваление услуг в области шифрования" для этого нужно, чтобы класс был 4б.
                          В каком документе указана классификация?

                          Комментарий


                          • #14
                            exploit
                            для аттестации сети по категории 4 б
                            Кхм...А чем 4б отличается от 5(или 5е), просветите, пожалуйста (если, конечно под аттестацией подразумевается проверка правильности соединений и частотных параметров)???

                            От себя могу порекомендовать порыться в этих вот буржуйских стандартах:
                            ANSI/EIA/TIA 568A, 569, 570, 606 и 607
                            IEEE 1100
                            NEC 210, 240 и 570
                            Всё в наших руках...(с)

                            Комментарий


                            • #15
                              exploit
                              получение сертификата разработки производства, реализации и эксплуатации шифровальных средств
                              Тэээкс...Похоже, тут торчат "ушки" ФСТЭК...Но у них категории именно 4б я что-то не припоминаю, хотяяяя, может быть имеется в виду "Аттестация объектов информатизации по требованиям безопасности информации" по классам, а категории рассматриваются как уже более мелкие составляющие этих самых класов.На всякий случай, посмотрите-ка вот тут, может чего полезного и найдёте
                              Всё в наших руках...(с)

                              Комментарий


                              • #16
                                у нас есть 3 сертификата от фсБ на предоставление услуг в области шифрования, на тех.обслуживание средств шифрования и на распространения средств шифрования. Срок лицензии заканчивается. Поэтому комиссия будет заново проводить аттестацию.

                                Класс защищенности 4б к чему относиться ????

                                Комментарий


                                • #17
                                  Ах вот оно что! Вы собираетесь ФСБшную лицензию получать.

                                  Проще всего обратиться в УФСБ по вашему территориальному округу, и запросить перечень нужных вам нормативных документов. Не стесняйтесь - это стандартный вопрос. Перечень контактов - вот: http://www.fsb.ru/contact/ufsb.html

                                  Комментарий


                                  • #18
                                    Сообщение от exploit Посмотреть сообщение
                                    Класс защищенности 4б к чему относиться ????
                                    У ФСБ есть набор руководящих документов с классификациями. В отличие от ФСТЭКовских РД они не публикуются. В частности, есть требования к помещениям.

                                    Комментарий


                                    • #19
                                      У нашего регионального ФСБ сайта нет. Написал на почту ФСБ по кировской области, может они просветят, если мое письмо за спам не примут

                                      А может кто уже с эти сталкивался? Может еть у кого-нить нармативка по этому вопросу?

                                      Комментарий


                                      • #20
                                        Сообщение от exploit Посмотреть сообщение
                                        У нашего регионального ФСБ сайта нет. Написал на почту ФСБ по кировской области, может они просветят, если мое письмо за спам не примут
                                        Ай, зачем писал. Вот телефон дежурного УФСБ Кировской области (8332) 358-111. Звякни в понедельник, он тебе скажет телефон отдела лицензирования. Отдел лицензирования даст тебе всю информацию, они за это деньги, собствено, и получают.

                                        По электронной почте общаться с ними бесполезно. Если тебе нужен ответ - пиши официальное письмо и вези в экспедицию. Только учти - экспедиция адресату письмо неделю везти может. Плюс месяц на ответ. Так что лучше звони

                                        Комментарий


                                        • #21
                                          to malotavr в какой документе отражена классификация АС или помещения где обработывается конф.информация, в частности содержащая класс 4б. Понять не могу откуда это?

                                          Комментарий


                                          • #22
                                            Классификация АС - В РД Гостехкомиссии, но там такого класса нет - там только три семейства.
                                            Классификации помещений я не встречал, возможно она есть в ФСБшных РД, но их я не читал и в открытом доступе их нет.

                                            Комментарий


                                            • #23
                                              у какой именно РД?

                                              Комментарий


                                              • #24
                                                http://www.fstec.ru/_docs/doc_3_3_003.htm
                                                Руководящий документ
                                                Средства вычислительной техники
                                                Защита от несанкционированного доступа к информации
                                                Показатели защищенности от несанкционированного доступа к информации
                                                Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

                                                Здесьт указаны 6 классов защещенности АС

                                                Блин... и телефон ФСБ занят постоянно

                                                Комментарий


                                                • #25
                                                  Нет, это 6 классов СВТ. СВТ - это отдельно взятая железка, так она и сертифицируется. АС классифицируются в http://www.fstec.ru/_docs/doc_3_3_004.htm, там есть классы 3Б-3А, 2Б-2А, 1Д-1А.

                                                  Требований к помещениям нет ни в одном из этих документов.
                                                  Кроме того, для получения лицензий ФСБ руговодящие документы ФСТЭК рояля не играют (не дружат эти два ведомства).

                                                  Комментарий


                                                  • #26
                                                    Как вариант, можно позвонить в Центр по лицензированию, сертификации и защите государственной тайны ФСБ России

                                                    (495) 149-57-28 (собственно, отдел лицензирования)
                                                    http://www.fsb.ru/contact/center/lsz/lsz.html

                                                    Комментарий


                                                    • #27
                                                      Как сказал шеф: будет проведена аттестация объекта информатизации по требованиям безопасности конфиденциальной информации согласно СТР-К фирмой ....... . Ты должен провести сомостоятельно проверку и написать отчет. Если соот-ем, то зовем фирму, пусть аттестуют. Если нет - делаю все что бы соответствовало.

                                                      С чего он взял класс 4 б и к чему он относиться ... непонятно

                                                      Комментарий


                                                      • #28
                                                        Тогда совсем просто, только аттестация по СТР-К и получение лицензий ФСБ - это разные вещи, друг с другом не связанные. Может быть, вы ФСТЭКовскую лицензию получить собираетесь?

                                                        Требования к помещениям в СТР-К есть, но классификации, а тем более - класса 4Б там нет.

                                                        Аттестацию по СТР-К вы не пройдете. Объект информатизации - это автоматизированная система (вместе с клиентскими рабочими местами), т.е. полностью комплекс программного, аппаратного, организационного, нормативного и еще бог весть какого обеспечения, а не только серверная. Достаточно того, что АБС должна быть сертифицирована на уровень 1Г по РД (ссылка выше). Насколько я помню, ни одна АБС сертификацию не проходила.

                                                        СТР-К в свободном доступе нет, в инете есть только проект документа, он очень сильно отдичается от финальной версии. Купить его можно, насколько я помню, только в центральном управлении ФСТЭК и только в бумажном виде. Телефон, если не изменился, 293 1504.

                                                        Комментарий


                                                        • #29
                                                          exploit
                                                          Да, номер московский, после замены АТС выглядит, скорее всего, так: (495)6931504
                                                          Всё в наших руках...(с)

                                                          Комментарий


                                                          • #30
                                                            Да, простите, забыл про регион и смену АТС

                                                            Телефон дежурного по отделу лицензирования и сертификации: (495) 263-30-57, вроде он таак и не изменился - год назад звонил последний раз.

                                                            Дежурный по ведомству - (495) 293-50-03

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X