PK
Андрей Степанов
У ЦОД есть аттестаты, зачем нужна их МУ?
Потому, что они могут быть очень креативными
Size: a a a
2021 March 23
АС
Кто? )
АС
Кстати, Джеты рассылают приглашение на вебинар по моделированию по новой методике. Учить будут )
АС
Методика только вышла, а уже специалисты есть ). Не оскудела земля русская богатырями )
DK
Андрей Степанов
У ЦОД есть аттестаты, зачем нужна их МУ?
Я в ГИС 3 класса защищенности имею полное право считать актуальными угрозы использования спецслужбами аппаратных закладок. А ЦОД, аттестованный по 3 классу, имеет полное право считать их неактуальными. И их аттестат ничего не говорит мне о том, защищены ли ресурсы, которые Я беру у ЦОД, от таких угроз.
Поэтому методика прямым текстом требует получать от ЦОД не аттестаты, а результаты их моделирования угроз. Если ЦОД их не предоставляет, в моделировании угроз такой ЦОД обязан считаться заведомо скомпрометированным нарушителем (п. 2.11, второй абзац), глубоко наплевав на любые их аттестаты
Поэтому методика прямым текстом требует получать от ЦОД не аттестаты, а результаты их моделирования угроз. Если ЦОД их не предоставляет, в моделировании угроз такой ЦОД обязан считаться заведомо скомпрометированным нарушителем (п. 2.11, второй абзац), глубоко наплевав на любые их аттестаты
АС
Вот, кстати, интересная тема для обсуждения
АС
Может быть классы не просто так придумали? Если для ГИС К3 можно было считать актуальным нарушителя - СС, то какой смысл в классах?
DK
Андрей Степанов
Может быть классы не просто так придумали? Если для ГИС К3 можно было считать актуальным нарушителя - СС, то какой смысл в классах?
Класс устанавливает нижнюю планку требований. Но защита только по нижней планке регулятора не устраивает.
АС
Слово "нижняя планка" это интерпретация
АС
В приказах такого нет
АС
На каком основании ты так своевольно трактуешь приказ? )
S
Я в ГИС 3 класса защищенности имею полное право считать актуальными угрозы использования спецслужбами аппаратных закладок. А ЦОД, аттестованный по 3 классу, имеет полное право считать их неактуальными. И их аттестат ничего не говорит мне о том, защищены ли ресурсы, которые Я беру у ЦОД, от таких угроз.
Поэтому методика прямым текстом требует получать от ЦОД не аттестаты, а результаты их моделирования угроз. Если ЦОД их не предоставляет, в моделировании угроз такой ЦОД обязан считаться заведомо скомпрометированным нарушителем (п. 2.11, второй абзац), глубоко наплевав на любые их аттестаты
Поэтому методика прямым текстом требует получать от ЦОД не аттестаты, а результаты их моделирования угроз. Если ЦОД их не предоставляет, в моделировании угроз такой ЦОД обязан считаться заведомо скомпрометированным нарушителем (п. 2.11, второй абзац), глубоко наплевав на любые их аттестаты
И вы откажетесь от услуг этого ЦОДа?
АС
Андрей Степанов
В приказах такого нет
Зато в приказе есть это:
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
АС
Есть, но нет логики
S
Какая ответственность для ЦОД если он отказывается предоставлять по запросу свою МУ?
АС
И вы откажетесь от услуг этого ЦОДа?
А иначе как выполнять требования нормативки?
АС
Какая ответственность для ЦОД если он отказывается предоставлять по запросу свою МУ?
Уход Заказчика к другому ЦОД, который предоставляет эти данные и выполняет требования 17 приказа
АС
Зато в приказе есть это:
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
А логика тут простая. Если у ЦОД есть аттестаты, значит актуальные угрозы нейтрализованы. А значит нет предмета для рассмотрения
АС
Андрей Степанов
А логика тут простая. Если у ЦОД есть аттестаты, значит актуальные угрозы нейтрализованы. А значит нет предмета для рассмотрения
На каком основании вы так интерпретируете четкие указания приказа? :)
АС
😂