AV
народ поправит - но вроде можно вести его в электрическом . Это должно быть прописано в положении. Если проверка придет - то распечатать , сшить на текущую дату.
Size: a a a
2021 January 26
AK
графа 8 в этом случае как будет заполняться?
АП
Alexander Korb
графа 8 в этом случае как будет заполняться?
Получал от регулятора ответ на этот вопрос: "Ведение журнала... в электронном виде считается возможным. Факт приема-передачи СКЗИ, факт установки и настройки СКЗИ должен подтверждаться или посредством ЭП либо наличием подписанных бумажных актов."
=
Кстати каждый год новый заводим или нет?
ВО
добрый вечер коллеги! Вопрос: есть ИС (web-сервис), ИСПДн web-сервиса имеет УЗ-3 и тип актуальных угроз 3. Исходя из модели угроз (учитывая внутреннего нарушителя определено использование СКЗИ не ниже КС3). Организовав внешнему абоненту (клиенту) доступ к web-сервису по TLS ГОСТ (КриптоПро CSP КС3) мы удовлетворили требования по передаче перс. данных от нас к абоненту? Или ему на АРМ нужно поставить сертифицированный антивирус и др. СЗИ?
S
у Вас удаленные АРМ будут входить в состав ИС?
S
каким образом планируете контролировать выполнение мер защиты на удаленных АРМ?
S
добрый вечер коллеги! Вопрос: есть ИС (web-сервис), ИСПДн web-сервиса имеет УЗ-3 и тип актуальных угроз 3. Исходя из модели угроз (учитывая внутреннего нарушителя определено использование СКЗИ не ниже КС3). Организовав внешнему абоненту (клиенту) доступ к web-сервису по TLS ГОСТ (КриптоПро CSP КС3) мы удовлетворили требования по передаче перс. данных от нас к абоненту? Или ему на АРМ нужно поставить сертифицированный антивирус и др. СЗИ?
Если внешнему клиенту требуется гостовое СКЗИ, на его ПК необходимо установить всё, что прописано в формуляре на это скзи. Т.е., скорее всего, это сертифицированные именно ФСБ АВЗ и МСЭ, + возможно АМДЗ (для кс2) и средство ограничения программной среды (если это КС3).
Как-то так. СЗИ сертифицированные ФСТЭК не катят...
Как-то так. СЗИ сертифицированные ФСТЭК не катят...
ВО
у Вас удаленные АРМ будут входить в состав ИС?
Ну они будут иметь доступ не в сама ИС, а к части ее данных
ВО
каким образом планируете контролировать выполнение мер защиты на удаленных АРМ?
Я не могу контролировать ПО которое стоит у клиента
S
Я не могу контролировать ПО которое стоит у клиента
Это понятно. Прописывайте в требованиях. Формально, можете попробовать потребовать аттестацию рабочих мест.
ВО
Если внешнему клиенту требуется гостовое СКЗИ, на его ПК необходимо установить всё, что прописано в формуляре на это скзи. Т.е., скорее всего, это сертифицированные именно ФСБ АВЗ и МСЭ, + возможно АМДЗ (для кс2) и средство ограничения программной среды (если это КС3).
Как-то так. СЗИ сертифицированные ФСТЭК не катят...
Как-то так. СЗИ сертифицированные ФСТЭК не катят...
Ну внешнему клиенту правила диктую я, исходя из модели угроз внешнего нарушителя. Для моей сети УЗ-3, я хочу для клиента сделать минимальными требования
S
Ну внешнему клиенту правила диктую я, исходя из модели угроз внешнего нарушителя. Для моей сети УЗ-3, я хочу для клиента сделать минимальными требования
Судя по вашей модули угроз, ваш внутренний нарушитель, страшнее внешнего у клиентов ..))
Тогда кс1 со всеми вытекающими.
Все требования можно срисовать из документации и формуляра на СКЗИ
Тогда кс1 со всеми вытекающими.
Все требования можно срисовать из документации и формуляра на СКЗИ
ВО
А подрядчик настаивает что требования для АРМ клиента такие как и для моих внутренних - но это нелепо я считаю
ВО
Но я считаю, что это не так
ВО
И я могу к примеру как банки просто для клиентов использовать гост TLS
ВО
Написав для этой ИС другую модель угроз
ВО
Или сделав некую прокладку как терминальный сервер клиента
S
А подрядчик настаивает что требования для АРМ клиента такие как и для моих внутренних - но это нелепо я считаю
Вообще-то, это может быть вполне логично, но можно попробовать оспорить, что риск потери информации в самой ИС, гораздо выше, чем на ПК клиента
ВО
Если клиент теряет информацию на ПК, это не несёт риски