18 июня, вторник 20:41
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Об умирающих парадигмах

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от Идущий Посмотреть сообщение
    Однако вернемся к "парадигме".
    Пусть у нас имеется три АС различного назначения, реализованные в виде автономных ЛВС. Две из них класса 1Г, третья не классифицирована.
    Две первые АС имеют аттестаты.
    Задача1: организовать взаимодействие между первыми двумя АС.
    1. От кого защищаемся?
    2. Чего хотим добиться, реализовав защитные меры?

    Комментарий


    • #32
      Сообщение от malotavr Посмотреть сообщение
      1. От кого защищаемся?
      Защищаемся от людей, пытающихся получить информацию несанкционировано.
      Сообщение от malotavr Посмотреть сообщение
      2. Чего хотим добиться, реализовав защитные меры?
      Конфиденциальности информации.

      Комментарий


      • #33
        Сообщение от Алексей Лукацкий Посмотреть сообщение
        Что мешает поставить сертифицированный коммутатор?



        И мы прекрасно понимаем, что и при наличии МСЭ и при его отсутствии из одной ЛВС в другую можно замечательно попасть.
        Не понимаю Вашего ответа.

        Комментарий


        • #34
          Сообщение от Идущий Посмотреть сообщение
          Защищаемся от людей, пытающихся получить информацию несанкционировано.
          Это не ответ. От школьника, хакера и агента мирового империализма мы будем защищаться по-разному

          Сообщение от Идущий Посмотреть сообщение
          Защищаемся от людей, пытающихся получить информацию несанкционировано.
          Тогда наличие/отсутствие аттестата к поставленной задаче отношения не имеет

          В дополнение к тому, что уже сделано для защиты этих АС - выносим каждую систему в отдельный VLAN, фильтруем трафик на маршрутизаторе, разруливающим VLANы, настраиваем генерацию данных аудита, отслеживаем срабатвание правил deny. Дальше - зависит от того, от кого защищаемся.

          Комментарий


          • #35
            Сообщение от malotavr Посмотреть сообщение
            Это не ответ. От школьника, хакера и агента мирового империализма мы будем защищаться по-разному
            Тогда наличие/отсутствие аттестата к поставленной задаче отношения не имеет
            Выберите себе любого нарушителя из перечисленных. Наличие аттестата АС говорит о том, что для выбранного Вами нарушителя действуют необходимые защитные меры. Поэтому аттестат для указаной задачи необходим как свидетельство наличия необходимых защитных мер.

            Сообщение от malotavr Посмотреть сообщение
            В дополнение к тому, что уже сделано для защиты этих АС - выносим каждую систему в отдельный VLAN, фильтруем трафик на маршрутизаторе, разруливающим VLANы, настраиваем генерацию данных аудита, отслеживаем срабатвание правил deny. Дальше - зависит от того, от кого защищаемся.
            Это как раз детали, от которых пытался убежать, используя слово "аттестат".
            Посмотрите результат - две системы, имеющие собственные аттестаты и классы защищенности 1Г, взаимодействуют друг с другом с использованием специализированного МСЭ. Каждая из них
            свой аттестат не потеряла - исполняются требования СТР-К.

            Следующая задача - организовать взаимодействие между этими двумя аттестованными АС с третьей, у которой аттестат отсутствует.
            Предложите решение, которое сохранит аттестаты превых двух АС и позволит с ними взаимодействовать третьей АС, не обладающей аттестатом.

            Комментарий


            • #36
              Сообщение от malotavr Посмотреть сообщение
              В дополнение к тому, что уже сделано для защиты этих АС - выносим каждую систему в отдельный VLAN, фильтруем трафик на маршрутизаторе, разруливающим VLANы, настраиваем генерацию данных аудита, отслеживаем срабатвание правил deny. Дальше - зависит от того, от кого защищаемся.
              Или коммутаторе 3-го уровня, в т.ч. и имеющем сертификат ФСТЭК

              Комментарий


              • #37
                Сообщение от Идущий Посмотреть сообщение
                Выберите себе любого нарушителя из перечисленных. Наличие аттестата АС говорит о том, что для выбранного Вами нарушителя действуют необходимые защитные меры. Поэтому аттестат для указаной задачи необходим как свидетельство наличия необходимых защитных мер.
                Наличие аттестата не говорит ни о чем ;-( Также как и его отсутствие. Это всего лишь бумага.

                Комментарий


                • #38
                  Сообщение от Идущий Посмотреть сообщение
                  Следующая задача - организовать взаимодействие между этими двумя аттестованными АС с третьей, у которой аттестат отсутствует.
                  Предложите решение, которое сохранит аттестаты превых двух АС и позволит с ними взаимодействовать третьей АС, не обладающей аттестатом.
                  Я его уже предложил
                  В дополнение к тому, что уже сделано для защиты этих АС - выносим каждую систему в отдельный VLAN, фильтруем трафик на маршрутизаторе, разруливающим VLANы, настраиваем генерацию данных аудита, отслеживаем срабатвание правил deny. Дальше - зависит от того, от кого защищаемся.

                  Комментарий


                  • #39
                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                    Наличие аттестата не говорит ни о чем ;-( Также как и его отсутствие. Это всего лишь бумага.
                    так же как и законы, постановления и подтверждающие их исполнение документы.

                    Комментарий


                    • #40
                      Сообщение от Идущий Посмотреть сообщение
                      так же как и законы, постановления и подтверждающие их исполнение документы.
                      Ну собственно мы изначально говорили о подходе, а не документах.

                      Комментарий


                      • #41
                        Сообщение от malotavr Посмотреть сообщение
                        Я его уже предложил
                        Извините, не заметил.
                        Собственно вопрос ради любопытства: Вы не забыли, что собираетесь показать смерть "парадигмы" изложенной в СТР-К?

                        Комментарий


                        • #42
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          Ну собственно мы изначально говорили о подходе, а не документах.
                          Так покажите ошибку в подходе на основе предложенного примера.

                          Комментарий


                          • #43
                            Сообщение от Идущий Посмотреть сообщение
                            Так покажите ошибку в подходе на основе предложенного примера.
                            А зачем? Мне на рекомендательные СТР-К, в общем-то, до... Как правильно заметил malotavr, наличие документа еще не делает описанный в нем подход правильным. Я исхожу из потребностей бизнеса, о чем писал уже не раз. Я и без аттестата не смогу применить периметральный подход к большинству компаний, ориентированный на эффективность бизнеса, а с аттестатом тем более. Ибо наличие аттестата полностью блокирует внедрение Wi-Fi, iPhone, смартфонов и т.п., которые по определению (ради этого их и создавали) находятся за пределами контролируемой зоны и, более того, постоянно меняют свое местоположение в пространстве. Поставить на них сертифицированные средства защиты невозможно... И о каком тогда СТР-К можно говорить?..

                            Вот malotavr проще - он долго работал и с СТР-К и с бизнесом и может более адекватно сравнивать оба подхода.

                            Комментарий


                            • #44
                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              А зачем?
                              Я правильно Вас понял:
                              Вы не довольны "парадигмой" СТР-К, но не желаете утверждать, что эта парадигма "ошибочна".

                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Мне на рекомендательные СТР-К, в общем-то, до... Как правильно заметил malotavr, наличие документа еще не делает описанный в нем подход правильным.
                              А вот не описаный в документах подход, является правильным по причине отсутствия этих самых документов.

                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Я исхожу из потребностей бизнеса, о чем писал уже не раз.
                              Можно уточнить по поводу потребностей: это задокументированные потребности или это потребности не выявленные на уровне сознания ?

                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Я и без аттестата не смогу применить периметральный подход к большинству компаний, ориентированный на эффективность бизнеса, а с аттестатом тем более.
                              А попытки были?

                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Ибо наличие аттестата полностью блокирует внедрение Wi-Fi, iPhone, смартфонов и т.п., которые по определению (ради этого их и создавали) находятся за пределами контролируемой зоны и, более того, постоянно меняют свое местоположение в пространстве.
                              С чего вдруг Вы так говорите об объекте, который обозвали всего лишь бумага?

                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Поставить на них сертифицированные средства защиты невозможно... И о каком тогда СТР-К можно говорить?..
                              Так Вы и о требованиях к защите ПДн начинали говорить об их "невозможности исполнения", а ныне курсы читаете по применению "невозможной" защиты ПДн. И что?

                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Вот malotavr проще - он долго работал и с СТР-К и с бизнесом и может более адекватно сравнивать оба подхода.
                              Мне почему-то казалось, что мы и с Malotavrом дискутируем. Наверное я ошибся - приношу свои извинения.

                              Комментарий


                              • #45
                                Сообщение от Идущий Посмотреть сообщение
                                Я правильно Вас понял:
                                Вы не довольны "парадигмой" СТР-К, но не желаете утверждать, что эта парадигма "ошибочна".
                                Я же вам уже не раз пытался описать предприятие, в котором СТР-К не применим. Повторю еще раз. К ИС предприятия подключаются партнеры и клиенты. Сотрудники активно используют смартфоны/iPhone для подключения к корпоративной сети. Сеть построена на Wi-Fi. Ни СТР-К нельзя тут реализовать, ни периметральная парадигма тут не работает.

                                Сообщение от Идущий Посмотреть сообщение
                                А вот не описаный в документах подход, является правильным по причине отсутствия этих самых документов.
                                Почему отсутствует? Вот вам только один из примеров - www.cisco.com/go/safe По поводу возможного вопроса о том, что это подход одной компании. Этот подход уже около 10 лет продвигается нами по всему миру. Его в той или иной степени используют десятки тысяч компаний.

                                Сообщение от Идущий Посмотреть сообщение
                                Можно уточнить по поводу потребностей: это задокументированные потребности или это потребности не выявленные на уровне сознания ?
                                В зависимости от зрелости бизнеса. Где-то да, где-то нет.

                                Сообщение от Идущий Посмотреть сообщение
                                А попытки были?
                                И не раз.

                                Сообщение от Идущий Посмотреть сообщение
                                С чего вдруг Вы так говорите об объекте, который обозвали всего лишь бумага?
                                Этой фразы я не понял.

                                Сообщение от Идущий Посмотреть сообщение
                                Так Вы и о требованиях к защите ПДн начинали говорить об их "невозможности исполнения", а ныне курсы читаете по применению "невозможной" защиты ПДн. И что?
                                А вы были на моих курсах? Во-первых, я читаю методы ОПТИМИЗАЦИИ усилий слушателей по приведению себя в соответствие с требованиями законодательства. Во-вторых, за это время ФСТЭК изменила свои документы, сделав их во многих случаях рекомендательными.

                                Сообщение от Идущий Посмотреть сообщение
                                Мне почему-то казалось, что мы и с Malotavrом дискутируем. Наверное я ошибся - приношу свои извинения.
                                Ну это же не переписка через личные сообщения ;-)

                                Комментарий


                                • #46
                                  Сообщение от Идущий Посмотреть сообщение
                                  Выберите себе любого нарушителя из перечисленных.
                                  Выбираю: внедренный агент входящий в число санкционированно допущенного персонала (инсайдер/секретоноситель).

                                  Степень доверенности проверить не имею права на основании ТК и 152-ФЗ (сбор сведений о тайне личной жизни сотрудника, получение ПДн от третьих лиц, согласие на обработку ПДн, спецкатегории ПДн и т.д. и т.п.).

                                  Данный нарушитель имеет высокую квалификацию и санкционированно предоставленные полномочия от пользователя до администратора (точное местоположение не определено).
                                  Нарушитель может действовать как самостоятельно, так и в сговоре с другими лицами как внутри, так и вне периметра. Для связи с другими лицами может использовать как ТСПИ организации, так и личные средства коммуникации.

                                  В АСЗИ обрабатываются сведения конфиденциального характера (определенные 188 Указом)
                                  Сообщение от Идущий Посмотреть сообщение
                                  Наличие аттестата АС говорит о том, что для выбранного Вами нарушителя действуют необходимые защитные меры. Поэтому аттестат для указаной задачи необходим как свидетельство наличия необходимых защитных мер.
                                  1. На какой класс необходимо аттестовать данную АСЗИ? Стоимость внедрения для организации от 100 человек в арендуемых помещениях?
                                  2. Какие пункты РД позволят обеспечить защиту от данного нарушителя?
                                  3. Какова периодичность переаттестации если АСЗИ имеет подключение к ССОП?

                                  Комментарий


                                  • #47
                                    Сообщение от Toparenko Посмотреть сообщение
                                    Выбираю: внедренный агент входящий в число санкционированно допущенного персонала (инсайдер/секретоноситель).

                                    Комментарий


                                    • #48
                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      Я же вам уже не раз пытался описать предприятие, в котором СТР-К не применим. Повторю еще раз. К ИС предприятия подключаются партнеры и клиенты. Сотрудники активно используют смартфоны/iPhone для подключения к корпоративной сети. Сеть построена на Wi-Fi. Ни СТР-К нельзя тут реализовать, ни периметральная парадигма тут не работает.
                                      Я прочитал этот текст, однако не заметил объяснения почему "СТР-К нельзя тут реализовать".



                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      И не раз.
                                      Если Вы это пытались реализовать и не один раз, то почему не назвать те конкретные вопрсы, которые вызвали "неразрешимость"?

                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      А вы были на моих курсах? Во-первых, я читаю методы ОПТИМИЗАЦИИ усилий слушателей по приведению себя в соответствие с требованиями законодательства. Во-вторых, за это время ФСТЭК изменила свои документы, сделав их во многих случаях рекомендательными.
                                      Если я смогу оказаться на Ваших курсах - Вы обязательно об этом узнаете.

                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      Ну это же не переписка через личные сообщения ;-)
                                      Так и я о том же.

                                      Комментарий


                                      • #49
                                        Сообщение от Toparenko Посмотреть сообщение
                                        Выбираю: внедренный агент входящий в число санкционированно допущенного персонала (инсайдер/секретоноситель)...
                                        На здоровье.
                                        Сообщение от Toparenko Посмотреть сообщение
                                        1. На какой класс необходимо аттестовать данную АСЗИ? Стоимость внедрения для организации от 100 человек в арендуемых помещениях?
                                        2. Какие пункты РД позволят обеспечить защиту от данного нарушителя?
                                        3. Какова периодичность переаттестации если АСЗИ имеет подключение к ССОП?
                                        Вопросы (мне так кажется) не имеют отношения к теме "умирающих парадигм".
                                        Уважаемые Алексей Лукацкий и Malotavr пытаются мне объяснить, что понятие "периметра" и соответствующая парадигма (прицепом СТР-К и т.д.) на текущий момент даже в конвульсиях не дергается.
                                        Они говорят - нельзя, не применима и т.д., а объяснять почему то ли не хотят, а может не желают, но наверное на оборот: сначала не желают, а потом не хотят.

                                        Комментарий


                                        • #50
                                          Сообщение от Идущий Посмотреть сообщение
                                          Уважаемые Алексей Лукацкий и Malotavr пытаются мне объяснить, что понятие "периметра" и соответствующая парадигма (прицепом СТР-К и т.д.) на текущий момент даже в конвульсиях не дергается.

                                          Они говорят - нельзя, не применима и т.д., а объяснять почему то ли не хотят, а может не желают, но наверное на оборот: сначала не желают, а потом не хотят.
                                          Так вам и привели хороший пример. Попробуйте в рамках этой парадигмы защитить предложенную вами систему от предложенного Toparenko нарушителя. Применить "парадигму и прицеп" вы сможете, защитить стаким способом систему - нет. И я не смогу Не годится она для таких задач.

                                          Комментарий


                                          • #51
                                            Сообщение от malotavr Посмотреть сообщение
                                            Так вам и привели хороший пример. Попробуйте в рамках этой парадигмы защитить предложенную вами систему от предложенного Toparenko нарушителя.
                                            Это весьма затруднительно, но по несколько иным причинам. Вот часть первого вопроса заданного Toparenko
                                            На какой класс необходимо аттестовать данную АСЗИ?Надо полагать, что АСЗИ - это автоматизированная система защиты информации. Вопрос, конечно, имеет место быть, но речь шла об АС содержащей конфиденциальную информацию, а не о средстве защиты созданном ввиде АСЗИ, требующем сертификации или аттестации на определенный класс.
                                            Вторую часть этого вопроса оставим без рассмотрения.
                                            Вопрос 2:Какие пункты РД позволят обеспечить защиту от данного нарушителя?
                                            В таком контексте ответить не могу, т.к. не полностью понял вопрос. Однако, могу предположить, что некоторая совокупность технических и организационных мер позволит значительно снизить угрозу, за исключением случая "себя самого от себя самого защитить очень сложно при условии, что такая возможность вообще существует".
                                            Вопрос 3: Какова периодичность переаттестации если АСЗИ имеет подключение к ССОП?
                                            По усмотрению владельца, но не более 3 лет.
                                            Сообщение от malotavr Посмотреть сообщение
                                            Применить "парадигму и прицеп" вы сможете, защитить стаким способом систему - нет. И я не смогу Не годится она для таких задач.
                                            Объясните почему "не смогу" и "не годится".

                                            Комментарий


                                            • #52
                                              Сообщение от Идущий Посмотреть сообщение
                                              Я прочитал этот текст, однако не заметил объяснения почему "СТР-К нельзя тут реализовать".
                                              Может у нас тексты разные? Давайте по отдельным пунктам пробежимся:
                                              - п.2.16. Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации - Где мне взять сертифицированные средства защиты для Nokia e61i или iPhone?
                                              - п.3.8. определяются условия расположения объекта информатизации относительно границ КЗ - Как мне определить границы КЗ, если КЗ - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств. При этом я повторю, что я могу работать и работаю в аэропорту, кафе, электричке, самолете, парке и т.п. Во всех этих местах я не могу исключить неконтролируемое пребывание посторонних. Более того, я его там вообще неконтролирую.
                                              - п.4.5. Передача речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена - Во-первых, у меня каналы БЕСПРОВОДНЫЕ, а они вообще никак не регламентированы СТР-К. И следуя мнению ФСТЭК, беспроводку вообще нельзя использовать для передачи конфиденциальной информации. Во-вторых, СТР-К предполагает исключить передачу информации с моего лэптопа из аэропорта, а для меня это бизнес-потребность. Ни о какой защищенной линии связи в аэропорту и речи не идет.
                                              - п.5.1.3. ограничение доступа персонала и посторонних лиц в ЗП и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации - как вы себе это представляете для iPhone?
                                              - п.5.1.3. регистрация действий пользователей АС и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц - как вы себе это представляете? Нет в iPhone таких функций?
                                              - п.5.1.3. использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации - вы видели серийно выпускаемые лэптопы Lenovo, HP, Toshiba, ASUS в защищенном исполнении? А iPhone?
                                              - п.5.1.3. размещение объектов защиты на максимально возможном расстоянии от границы КЗ - если я не могу определить КЗ, то этот пункт не выполним.
                                              - п.5.1.3. ...про развязку цепей электропитания вообще говорить не буду ;-)
                                              - п.5.3.2. на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации, допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с разрешения руководителя организации или руководителя службы безопасности - вот незадача, руководитель моей организации находится в Америке, как и CSO. И даже если я попрошу лицо, их замещающее в России, чтобы оно разрешило мне пользоваться лэптопом в аэропорту, то как ему подам на подпись список посторонних лиц,находящихся в аэропорту?
                                              - п.5.3.2 по окончании обработки информации пользователь обязан произвести стирание остаточной информации на несъёмных носителях (жестких дисках) и в оперативной памяти. Одним из способов стирания остаточной информации в оперативной памяти является перезагрузка ПЭВМ - я упарюсь каждый раз перегружать iPhone
                                              - п.5.3.2. изменение или ввод новых программ обработки защищаемой информации ...при этом АС подлежит переаттестации - специально посмотрел статистику своей системы управления патчами. Ее конфигурация подразумевает ежедневное обновление. Даже если предположить, что патчи у меня ставятся даже не раз в неделю, а раз в месяц, то я запарюсь каждый раз переаттестовать систему. Совет - не ставить патчи я даже не рассматриваю.
                                              - п.5.3.4 Учет съемных носителей информации ...осуществляется по карточкам или журналам установленной формы - вот незадача, но как это сделать для iPhone или для моего лэптопа при нахождении меня в командировке, я не знаю ;-(
                                              - п.5.6.2. Конфиденциальная информация может обрабатываться только в ЛВС, расположенных в пределах КЗ - мы уже обсудили, что КЗ я не могу определить в динамической среде.
                                              - п.5.6.3. Средства защиты информации от НСД должны использоваться во всех узлах ЛВС - и на iPhone/смартфон? Где взять (сертифицированные, разумеется)?
                                              - п.5.6.6. Состав пользователей ЛВС устанавливается письменным распоряжением руководителя организации (структурного подразделения) - вот у нас на сайте, которыя является частью нашей сети, 2 с лишним миллиона пользователей. Я должен к президенту компании придти утверждать список? Или к кому? Web-администратору?
                                              - п.6.2.1 Обоснование необходимости подключения АП к Сети должно содержать [перечисление пунктов] - я на дню могу подключаться минимум к 2-м азным сетям, а в командировке - 4-5 сетям (в каждом городе свои). Я уже не говорю, что iPhone, как и любой смартфон, за границей подключается к первому попавшемуся оператору (по терминологии СТР-К - Сети) автоматически. А п.6.3.10 это явно запрещает. Заранее же знать список операторов я не могу ;-(
                                              - п.6.2.2. Подключение к Сети АП, представляющих собой внутренние (локальные) вычислительные сети организации, на которых обрабатываются информация, не разрешенная к открытому опубликованию в соответствии с Перечнем сведений конфиденциального характера организации, осуществляется только после установки на АП средств защиты информации от НСД и аттестационных испытаний АП с целью официального подтверждения эффективности применяемых мер и средств защиты информации, отвечающих рекомендациям, изложенным в подразделе 6.3 настоящего документа и требованиям действующих государственных стандартов - аттестуете iPhone?
                                              - п.6.3.12.1 Для обеспечения защиты информационных ресурсов АП при подключении к Сети необходимо...осуществлять периодический анализ безопасности установленных МЭ на основе имитации внешних атак на АП - увы, с лэптопа и, тем более с iPhone, я не хожу через корпоративный МСЭ.
                                              - теперь зададим еще вопрос. Например, у меня конфиденциальная информация хранится во внешней компании (cloud computing, SaaS и т.п.). Чем регламентировать этот вид взаимодействия? п.6.3.15 не прокатывает - он тупой и ориентирован только на работу электронной почты. Более того, он описывает только взаимодействие двух равнозначных сторон. А когда одна сторона использует инфраструктуру другой стороны (colocation, например), то этот пункт уже не работает.

                                              Я думаю достаточно. Или вы будете утверждать, что все описанные мной вопросы решаемы в рамках СТР-К? Если да, то если вас не затруднит, ответьте по каждому пункту. Спасибо.

                                              Комментарий


                                              • #53
                                                Продолжу ;-) Берем "Положением по аттестации объектов информатики по
                                                требованиям безопасности информации" и попробуем пройтись и по нему:
                                                - Как я предоставлю справку УФСБ об отсутствии (наличии) в 1000 метровой зоне представительств иностранных государств (США, Великобритания, Франция), обладающих правом экстерриториальности, если я сам и работаю в компании, являющейся представительством США ;-)
                                                - как мне разместить на плане размещения АС, относительно контролируемой зоны мой лэптоп и iPhone?
                                                - про анализ организационно распорядительной документации в области безопасности у себя я говорить не буду - она вся на английском ;-)
                                                - при аттестации проводится ручной анализ конфигурационных файлов маршрутизаторов. У нас их несколько тысяч в разных странах мира ;-)
                                                - как мне представить перечень помещений, в которых обрабатывается защищаемая информация, если я езжу с лэптопом по всему миру?
                                                - я умолчу про то, что основным методом тестирования системы защиты является сетевой сканер (т.к. именно так и действуют злоумышленники по мнению ФСТЭК) - это к нашей теме не относится
                                                - как будут проводиться исследования акустической и виброакустической защищенности помещений; исследование на
                                                акустоэлектрические преобразования; исследование технических средств на наличие ПЭМИ; исследование сети питания и цепей заземления; проведение необходимых спецпроверок технических средств и систем; исследование защищенности информации от НСД; спецобследование помещений, если я езжу с лэптопом по всему миру? Да даже если я могу работать только из офиса и дома?
                                                - я уж не упоминаю, что у меня на лжптопе стоит программный Cisco IP Phone, что превращает лэптоп в средство передачи речевой информации (не говоря уже об iPhone). И как тогда проверять их на утечку по акустическому и виброакустическому каналам при динамическом их перемещении по миру?
                                                ... ну и т.д.

                                                Комментарий


                                                • #54
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  Надо полагать, что АСЗИ - это автоматизированная система защиты информации.
                                                  Предположение не правильное - соответственно и не правильны все остальные выкладки.
                                                  См.
                                                  ГОСТ Р 51583–2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
                                                  ГОСТ Р 51624–2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.

                                                  Т.ч. под АСЗИ я понимаю автоматизированную систему в защищенном исполнении, а не автоматизированную систему защиты информации.

                                                  Раз уж Вы на СТР-К "киваете" то эти ГОСТы Вы обязаны знать и ими руководствоваться при создании АСЗИ

                                                  Комментарий


                                                  • #55
                                                    Сообщение от Идущий Посмотреть сообщение
                                                    Сообщение от toparenko
                                                    Вопрос 3: Какова периодичность переаттестации если АСЗИ имеет подключение к ССОП?
                                                    По усмотрению владельца, но не более 3 лет.
                                                    Пример:
                                                    На моем домашнем компе стоит зоопарк из 4-х ОС (OEM-овская Vista, Ubuntu, ALT Linux, Mandriva)
                                                    3 из этих ОС-ей могут применяться в АСЗИ.
                                                    Критические обновления безопасности, в каждой из них, поступают с периодичностью от 1 месяца до полугода (статистика по результатам использования).
                                                    Соответственно после обновления это ПО сразу же перестает быть сертифицированным => аттестат соответствия (если бы он был) перестает действовать.

                                                    Так что мне надо было бы делать (подчеркиваю, что система не автономна, а имеет подключение к сетям связи общего пользования [ССОП]):
                                                    1. Иметь аттестованную систему с критическими "дырами"
                                                    2. Накатить обновления и вывести систему из под аттестата

                                                    Комментарий


                                                    • #56
                                                      Сообщение от Идущий Посмотреть сообщение
                                                      Объясните почему "не смогу" и "не годится".
                                                      Сильно Вы хотя бы попытайтесь. Либо вы не сможете решить поставленнуюю задачу и сами все поймете, либо сможете - и убедительно продемонстрируете мою неправоту. В любом случае объяснения не понадобятся

                                                      Комментарий


                                                      • #57
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Может у нас тексты разные?
                                                        Очень надеюсь, что одинаковые, но гарантии давать не буду.

                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        ...Я думаю достаточно. Или вы будете утверждать, что все описанные мной вопросы решаемы в рамках СТР-К? Если да, то если вас не затруднит, ответьте по каждому пункту. Спасибо.
                                                        Благодарю Вас за этот ответ. Утверждать что-либо на текущий момент я не буду.

                                                        Комментарий


                                                        • #58
                                                          Сообщение от malotavr Посмотреть сообщение
                                                          В любом случае объяснения не понадобятся
                                                          Это радует, хоть писать ничего не понадобится.

                                                          Комментарий


                                                          • #59
                                                            Сообщение от Идущий Посмотреть сообщение
                                                            Благодарю Вас за этот ответ. Утверждать что-либо на текущий момент я не буду.
                                                            Хорошо, я не тороплю ;-)

                                                            Комментарий


                                                            • #60
                                                              Благодарю за предыдущее разъяснение.
                                                              Возник вопрос по:
                                                              Сообщение от Toparenko Посмотреть сообщение
                                                              Пример:
                                                              ...зоопарк из 4-х ОС (OEM-овская Vista, Ubuntu, ALT Linux, Mandriva)
                                                              3 из этих ОС-ей могут применяться в АСЗИ.
                                                              ...
                                                              2. Накатить обновления и вывести систему из под аттестата
                                                              Т.е. при использовании сертифицированной ОС установка обновлений (в соответствии с документацией к ОС) созданных в рамках этого же сертификата приводит к потере этого сертификата. Или я чего-то не понял?

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X