Защита АС от НСД. Выбор класса защиты - Форум по вопросам информационной безопасности

Нет, но боюсь вас запутать еще сильнее.

Строго говоря, в ИСПД требуется не "обязательная сертификация", а "оценка соответствия в установленном порядке", не всей ИСПД, а только средств защиты и не на "Основные мероприятия..." а на один из видов соответствия (контроль отсутствия НДВ, ТУ, задание по безопасности или РД по средствам вычислительной техники).

Согласно установленному порядку обязательной сертификации подлежат только средства защиты, предназначенные для защиты государственной тайны (постановление Правительства 608 от 1995 года.)

Тем не менее, ФСТЭК настаивает на обязательной сертификации СЗИ для ПД, ссылаясь на ведомственный приказ №199 от 1995 года. Это требование неправомерно, но захотите ли вы на этом настаивать?

Поэтому для ИСПД 3-го класса при прочих равных условиях я советовал бы отдавать предпочтение уже сертифицированным СЗИ, а из сертифицированных - тем, в сертификате которых есть приписка "...и может использооваться в ИСПД до не ниже 3".

malotavr, спасибо за помощь. Теперь ясности стало гораздо больше.

столкнулся с неизвестной формулировкой: класс разрабатываемой Системы - «3О». что это такое, подскажите, пожалуйста кто знает...

для бнопня | 51720
это классификация АС по ФСБ

С удовольствием бы рассказала, что это значит, но эти товарищи засекретили книженции с классификацией АС, поэтому низзззяяяя

Спасибо, Лия

Один из руководящих документов, тогда еще Гостехкомиссии России, устанавливал 9 классов защищенности для всех автоматизированных систем. По понятным причинам гостайну не обсуждаем и не трогаем, поэтому было у нас 4 класса для АС, переваривающих конфиденциальную информацию: 1Г,1Д, 2Б и 3Б. Эти же классы в свое время перекочевали и в СТР-К. Но вот в 13-м году появился 17-ый приказ ФСТЭК (работаю с ним, так как защищать приходится именно государственные ресурсы), а чуть позже в 14-ом Методический документ, что разъясняет этот приказ. Оба они имею отсылки к СТР-К. Также имеются информационные сообщения ФСТЭК, которые дают понять, что СТР-К живее всех живых. В общем, понятно, что если у нас ГИС, то пользоваться надо всем арсеналом, упомянутых выше документов. Но дело вот в чем, в 17-ом приказе ФСТЭК есть еще одна классификация - классификация информационных систем по требованиям защиты информации (из информационных сообщений ФСТЭК мы помним, что для них сейчас, грубо говоря, АС и ИС - одно и тоже), которая тоже включает четыре класса. И вот тут рождается вопрос: теперь классификация АС (ИС) производится и по СТР-К, и по 17 приказу, то есть на выходе мы будем получать два акта классификации, например, один (по классам защищенности АС от НСД) по 1Г, а другой (по требованиям защиты информации) по К1, или же классификация по 17 приказу отменяет прежний порядок, и в определении классов 1Г, 1Д, 2Б и 3Б теперь нет нужды?

Алексей,
В информационном сообщении ФСТЭК № 240/22/2637 от 15.07.2013 по этому поводу и написано в п.5, что иные положения СТР-К (разделы 3, 5) "могут применяться по решению обладателей информации, заказчиков и операторов ГИС в части, не противоречащей требованиям приказа № 17".
Поэтому никто вас не накажет, если захотите классифицировать вашу ИС ещё и по РД АС. Тем более, что эта классификация определяет только однопользовательский или многопользовательский режим работы и различные или одинаковые права пользователей к ресурсам.
А требования по 17 приказу все равно придется выполнять по отношению к классам ГИС, а не к классам АС

Спасибо, если я правильно понял, то классификация по РД теперь на усмотрение обладателей информации, заказчиков и операторов. То есть она не отменена, но решение о проведении такой классификации принимается отдельно. Если сказать совсем уж грубо, то хочешь проводи, хочешь - нет.
Про классификацию по 17-ому приказу все понятно: обязательно, приоритетно.