tag:blogger.com,1999:blog-4065770693499115314.post4005270699111223745..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Управление информационными потоками: с чем его едят?Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-4065770693499115314.post-49364719375962651872019-04-04T06:46:00.078+03:002019-04-04T06:46:00.078+03:00АлексейАК пишет...
Т.е. Windows = СВТ, но при необ...<i>АлексейАК пишет...<br />Т.е. Windows = СВТ, но при необходимости путем сертификации по РД СВТ наделяется функциями (сертифицированными) СЗИ.</i><br /><br />Неправильно, Windows - это ОС. Если она используется для реализации требований к ЗИ в ГИС, то должна быть сертифицирована как ОС согласно приказу ФСТЭК России от 19 августа 2016 г. N 119.<br />В сообщении фстэк от 18 октября 2016 г. N 240/24/4893 указано, какие классы ОС соответствуют классам ГИС и УЗ ИСПДн.<br />Эти же нововведения были учтены в изменениях в 17-м приказе, которые были внесены 27-м приказом фстэк в 2017 году.IBS2019https://www.blogger.com/profile/09326880310238578252noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23988220184843399262019-03-19T16:16:24.517+03:002019-03-19T16:16:24.517+03:00Неправильно. Если эти коммутаторы или маршрутизато...Неправильно. Если эти коммутаторы или маршрутизаторы используются как средства защиты информации - там поднимаются ACL, сегментируется сеть с помощью VLAN, реализуется обнаружение атак и т.п., то их надо сертифицировать. Тоже самое, если защита ПК ложится на встроенные механизмы Windows, то ОС должна быть сертифицированаАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-61908290041826270592019-03-19T13:31:53.592+03:002019-03-19T13:31:53.592+03:00Этот комментарий был удален автором.АлексейАКhttps://www.blogger.com/profile/12879938179509934684noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-16082719769370931282019-03-19T13:30:54.566+03:002019-03-19T13:30:54.566+03:00Алексей, извините за дотошность: впереди аттестаци...Алексей, извините за дотошность: впереди аттестация, Заказчик суровый ! <br />Правильно ли я понял, что несмотря на то, что маршрутизаторы-коммутаторы = СВТ, смотреть на эти СВТ как на СЗИ неправильно, т.е. они выпадают из требований 17, 21 приказов?<br />И тогда не полемики ради, а с формальной т. зрения: в приказах 17, 21, после ссылок на класс СЗИ через запятую идет указание на СВТ, что, на мой взгляд, не позволяет эти требования к СВТ "перекинуть" на СЗИ. <br />Пример: Windows - не СЗИ, но если требуется доказать защиту от НСД, то тут тебе РД СВТ в помощь. Конечно, есть наложенные СЗИ, но я не о них.<br />Т.е. Windows = СВТ, но при необходимости путем сертификации по РД СВТ наделяется функциями (сертифицированными) СЗИ.<br />И еще: какое тогда оборудование (софт) из категории СЗИ отвечает за соблюдение и контроль правил разграничения потоков (тот же НСД, те же правила разграничения доступа субъектов к объектам, но на уровне потоков данных) ?<br />За мнение буду признателен.АлексейАКhttps://www.blogger.com/profile/12879938179509934684noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40360643528599916752019-03-18T19:17:25.781+03:002019-03-18T19:17:25.781+03:00Ничего не поменялось. Для 21-го приказа сертификац...Ничего не поменялось. Для 21-го приказа сертификация не обязательна. Для 17-го обязательна, но только для средств защиты информации или оборудования, которое используется как средство защитыАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59834840447984506422019-03-18T17:29:56.733+03:002019-03-18T17:29:56.733+03:00Алексей добрый день !
Несмотря на срок давности ст...Алексей добрый день !<br />Несмотря на срок давности статьи,тема похоже сохраняет актуальность.<br />Например, как на Ваш взгляд, видится возможность выполнить требования приказов 17 (п. 26), 21 (п.12) о применении в ГИС (ИСПДн)сертифицированных СВТ (6,5+) для такой категории как комм. оборудование ?<br />Насколько понимаю, активное оборудование формально подпадает под СВТ.<br />Или это оборудование можно как-то "вывести" из СВТ (на период аттестации :)) ?АлексейАКhttps://www.blogger.com/profile/12879938179509934684noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-83808907226270004352013-06-28T08:43:34.853+04:002013-06-28T08:43:34.853+04:00Читая, все ждал слово Cisco ISE, где же оно)))Читая, все ждал слово Cisco ISE, где же оно)))Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74138118600360208372013-06-27T08:57:27.843+04:002013-06-27T08:57:27.843+04:00НД от регулятора не смогут удовлетворить всех и по...НД от регулятора не смогут удовлетворить всех и полностью соответствовать реалиям, посему все остается как есть - две системы безопасности: одна для регулятора с сертификатами и аттестатам, другая - для души :)Anonymousnoreply@blogger.com