1

Тема: Уровень 4 - Пересчитать драконов

Тут обсуждаем вопросы, связанные с четвертым уровнем квеста.

2

Re: Уровень 4 - Пересчитать драконов

А что мешает взять Базовую модель, разработанную ФСТЭК, сделать на титульном листе шапку "Утверждаю" и подписать директором? То же самое и с Методикой...
Зачем разрабатывать собственную ЧАСТНУЮ модель угроз? В Базовой уже всё есть. Да, оно кажется избыточным на первый взгляд, но при обеспечении таких примитивных мер, как Антивирус, Fifewall, Актив Директори, вынесение компьютера с базой ИСПДн в отдельную закрываемую комнату все эти угрозы, указанные в Базовой модели, сводятся к минимуму, и можно считать, что безопасность обеспечена...

Отредактировано VladOst (2011-06-30 13:08:49)

3

Re: Уровень 4 - Пересчитать драконов

VladOst, эт к вопросу о том, защищаем мы или защищаемся. Если защищаемся, то действттельно можно и не запариваться.

4

Re: Уровень 4 - Пересчитать драконов

Скажите, средствами сертифицированной ОС  Windows можно реализовать то, что тебует 58 приказ в части методов и средств защиты от НСД для класса К1 или все же необходимы отдельные СЗИ от НСД?

5

Re: Уровень 4 - Пересчитать драконов

Антон пишет:

Скажите, средствами сертифицированной ОС  Windows можно реализовать то, что тебует 58 приказ в части методов и средств защиты от НСД для класса К1 или все же необходимы отдельные СЗИ от НСД?

Антон,
1) Windows XP, насколько мне известно, сертифицирована только в OEM-исполнении.
2) Сертифицирован конкретный билд.

Но, если у вас нет подключения к ССОП, вирусная угроза признана неактуальной ну и т.д., то сертифицированная XP должна подойти.

Если же есть ССОП, то нужен сертифицированный МЭ. Если есть угроза вирусного заражения, то нужен сертифицированный антивирус. В общем нужно учитывать еще и ЧМУ.

Но, признаюсь, я с XP сертифицированной как-то сам немного плаваю. Если что, поправьте меня плиз.

6

Re: Уровень 4 - Пересчитать драконов

Антон пишет:

Скажите, средствами сертифицированной ОС  Windows можно реализовать то, что тебует 58 приказ в части методов и средств защиты от НСД для класса К1 или все же необходимы отдельные СЗИ от НСД?

Можно, если приобрести windows сертифицированные по требованиям безопасности ФСТЭК России... за отдельные деньги smile

7

Re: Уровень 4 - Пересчитать драконов

Приказ ФСТЭК № 58 "...о методах и способах защиты..."
п. 2.4. Безопасное межсетевое взаимодействие для информационных систем 3 класса при их подключении к сетям международного информационного обмена...

Вопрос № 1: Что значит «сети международного информационного обмена»? Это всё-таки Интернет или всё-таки нет? Если нет (что хорошо), то как туда попасть, а точнее – наоборот НЕ попасть ни в коем случае?

Вопрос № 2: Отсутствие в п.2.3. упоминания (п. 2.4.) о межсетевом экране для «информационных систем 3 класса при их подключении к сетям международного информационного обмена, а также для распределенных информационных систем 3 класса» говорит о том, что для нераспределенных систем (вся ИСПДн в пределах одной локалки в пределах одного здания) 3 класса межсетевой экран не обязателен?

8

Re: Уровень 4 - Пересчитать драконов

К вопросу №1 - да, в том числе и Интернет. Как не попасть - очень просто - не допускать подключения локальной информационной системы к сетям международного информационного обмена, в том числе к международной компьютерной сети "Интернет". Извините за такой сухой язык, но стараемся говорить на языке профильных документов. На самом деле, если подключение к интернет все-таки будет - ничего в этом страшного нет, межсетевой экран будет вполне достаточным звеном безопасности. Пожалуй, единственное условие, когда подключение к таким сетям запрещается - это обработка сведений, составляющих гостайну.
К вопросу №2 -да совершенно правильно, но если появится хоть у одного пользователя ЛВС возможность подключения к Интернет, межсетевой экран становится обязательным, по крайней мере пока не изменится ПРИКАЗ ФСТЭК от 5 февраля 2010 г. N 58.

9

Re: Уровень 4 - Пересчитать драконов

А в каком нормативно-правовом акте написано, что данная модель должна быть разработана в организации, напечатана и подписана?

10

Re: Уровень 4 - Пересчитать драконов

Смотрите пункт 1.4. Приказа ФСТЭК № 58 от 05.02.2010:
"1.4.Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20"