AN
Size: a a a
2020 June 06
РМ
Это к ней тогда относится: «в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;»
Да, теперь я понял, что вы хотите.
AN
Спасибо. Буду надеется что получится подсказать. Писать заказчику в чеклист выполнения РД СВТ НСД "ФСТЭК сам не очень понимает что хочет и делает" как-то некрасиво
S
Добрый вечер.
ФСТЭК в 21 по ИСПДН и в 239 по кии требует:
«в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;»
Хочу использовать Astra Linux Special Edition. Смотрю их сертификат: «Соответствует требованиям документов: Требования доверия(1), Требования к ОС, Профиль защиты ОС(А первого класса защиты. ИТ.ОС.А1.ПЗ), Профиль защиты ОС(А второго класса защиты. ИТ.ОС.А2.ПЗ)»
Как доказать выполнение требований приказов с текущим сертификатом ALSE? По какой методики определить ее классы?
ФСТЭК в 21 по ИСПДН и в 239 по кии требует:
«в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;»
Хочу использовать Astra Linux Special Edition. Смотрю их сертификат: «Соответствует требованиям документов: Требования доверия(1), Требования к ОС, Профиль защиты ОС(А первого класса защиты. ИТ.ОС.А1.ПЗ), Профиль защиты ОС(А второго класса защиты. ИТ.ОС.А2.ПЗ)»
Как доказать выполнение требований приказов с текущим сертификатом ALSE? По какой методики определить ее классы?
если не ошибаюсь, то второму классу соответствует Астра для архитектуры Байкал-Т1, а первому x86 и Эльбрус
AN
В этом и беда. В первой редакции сертификата все было: "Завершена сертификация операционной системы специального назначения «Astra Linux Special Edition» в системе сертификации ФСТЭК России (сертификат соответствия № 2557 от «27» января 2012 г.). Проведенные испытательной лабораторией ЗАО «НПО «Эшелон» сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК России по 3-му классу защищенности СВТ и 2-му уровню контроля отсутствия недекларированных возможностей. Операционная система может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно."
AN
А вот в последней нету (
S
что Вас смущает в тексте сертификата, в котором указано соответствие профилям защиты (т.е. классам СЗИ) и уровням доверия?
AN
Все отлично. Мне нужна связка с «в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;»
AN
По прямой логике - нет в сертификате, не присвоен класс, использоваться не может. Если есть где-то слова что при соответствии профиля Х автоматом выполняются требования класса Y то это бы решило вопрос.
S
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1206-informatsionnoe-soobshchenie-fstek-rossii-ot-18-oktyabrya-2016-g-n-240-24-4893
Операционные системы, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.
Операционные системы, соответствующие 1, 2 и 3 классам защиты, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Операционные системы, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.
Операционные системы, соответствующие 1, 2 и 3 классам защиты, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
S
у Астры Профиль защиты ОС (А первого класса защиты. ИТ.ОС.А1.ПЗ)
S
Состав закрываемых мер 239 от разработчика:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=48763045
https://wiki.astralinux.ru/pages/viewpage.action?pageId=48763045
AN
Да, с этим вопросов нет.
AN
Вопрос с дебильными классами СВТ и прямое требование к цифрам.
AN
В любом случае, спасибо за помощь.
S
для операционок классы СВТ не применяются с 2017 года
S
точнее, для всех СЗИ, на которые разработаны профили защиты
AN
.. о чем было бы очень хорошо написать в 17/21/239
РМ
если не ошибаюсь, то второму классу соответствует Астра для архитектуры Байкал-Т1, а первому x86 и Эльбрус
1 только x86_64
S
1 только x86_64
о, спасибо, буду знать