Контакты
Подписка 2025
МЕНЮ
Контакты
Подписка

как работать по приказу ФСТЭК 17-2013 (о ГИС) - Форум по вопросам информационной безопасности

как работать по приказу ФСТЭК 17-2013 (о ГИС) - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4

Автор: Семен | 50974 03.03.2014 22:34
Коллеги, с вашего позволения реанимирую тему.
вопрос такой. является ли официальный сайт органа государственной власти государственной информационной системой (ГИС)?
Прошло несколько месяцев

Автор: Бучт, }{ | 52825 30.07.2014 09:32
Ответьте, пожалуйста.

По Приказу 17, к классу К1 предъявляются соответствующие требования, указанные в "Приложение № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы".

Вопрос следующий:

Обязательно ли, техническое устройство, обеспечивающее выполнение требования к классу К1, будет являться СЗИ и, следовательно, это технические устройство подлежит обязательной сертификации? Либо, можно обеспечить выполнение требования, а техническую меру (техническое устройство), закрывающую это требование, необязательно относить к СЗИ и не проводить сертификацию?

Автор: Игорь | 52826 30.07.2014 09:46
Бучт, }{ | 52825

Если вы применяете для защиты информации независимо от класса ГИС и закрытия какого-либо требования не организационную меру, а техническое (программное) средство, то оно по всей логике является средством защиты информации и, соответственно, согласно требований 17 приказа должно быть сертифицированным

Автор: Бучт, }{ | 52827 30.07.2014 09:53
Т.е., если я закрывают какое-нибудь требование, например, сохранность отделяемых ноителей, техническим устройством - сейфом с электронным замком и своим программным обеспечением, то такой сейф должен пройти сертификацию? Так по Вашей логике?

На мой, дилетантский взгляд, если техническое устройство способствует закрытию требования, то оно, ещё необязательно является СЗИ.

Автор: Игорь | 52829 30.07.2014 10:29
"Т.е., если я закрывают какое-нибудь требование, например, сохранность отделяемых ноителей, техническим устройством - сейфом с электронным замком и своим программным обеспечением, то такой сейф должен пройти сертификацию?"

Это организационная, а не техническая мера. Не понимайте всё так буквально

Автор: Бучт, }{ | 52830 30.07.2014 11:31
Сколько людей, столько и мнений.

<<<<
Организационные меры защиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
>>>>
Источник: http://asher.ru/security/book/its/06

Сейф же не простой, я специально написал про эл. замок и ПО. Вместо сейфа и отделяемых носителей, можно придумать что-нибудь аналогичное. Главное, я хотел показать суть того, что не всякое тех.ус тройство и меру, можно назвать СЗИ и соответственно проводить обязательную сертификацию.

Автор: Игорь | 52831 30.07.2014 12:22
Так можно дойти до абсурда и посчитать, что электронный замок на дверях в помещение, где находятся средства обработки информации, тоже техническое средство защиты информации.
Под СЗИ всё-таки надо понимать аппаратные или программные средства (по вашей терминологии - технические средства), непосредственно установленные в ИС и участвующие в обработке (защите) информации

Страницы: < 1 2 3 4

Просмотров темы: 20230

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*