Comments 16
Был я на лекциях в Королеве. Там все прекрасно понимают, что такого рода сертифификация в 99% случаев носит юридический характер, а технические вопросы подгоняют под минимальные требования необходимого уровня защищенности.
Косвенное подтверждение моих убеждений
У вас одно рабочее место? А на этом компьютере вообще кто-то работает или он стоит и пылится, ждет продление аттестации? Средства вывода — принтер. Вы серьезно?
И очень интересно, что данные физически хранятся не на АРМ сотрудника, а обработка данных ведется тоже не на этом АРМ.
Косвенное подтверждение моих убеждений
В ЦОД RUVDS аттестованы автоматизированное рабочее место сотрудника
У вас одно рабочее место? А на этом компьютере вообще кто-то работает или он стоит и пылится, ждет продление аттестации? Средства вывода — принтер. Вы серьезно?
И очень интересно, что данные физически хранятся не на АРМ сотрудника, а обработка данных ведется тоже не на этом АРМ.
Уважаемый ilyaplot, мы не можем Вам говорить за лекции, которые Вы прослушали. Тем не менее постараюсь ответить по существу.
1) конечно же, в статье опечатка. Аттестованы рабочие места, а не место.
2) по поводу хранения и обработки данных, повторюсь, что в статье сказано, что на таком АРМ (которое может включать в себя и, собственно, сервера) хранятся не все данные, а данные тех клиентов, которые изъявили желание работать по нормативам ФСТЭК в связи с характером своей деятельности и хранимой информации. Если все данные клиентов будут идти через «терьеров, secret net'ы» и другие защитные инструменты, клиенты сильно потеряют в скорости работы. Поэтому, естественно, что подобная сертификация говорит о том, что компания RUVDS уже имеет защищенное пространство и, что самое главное, по требованию заказчика может организовать сертифицированную защищенную инфраструктур под его конкретные требования.
1) конечно же, в статье опечатка. Аттестованы рабочие места, а не место.
2) по поводу хранения и обработки данных, повторюсь, что в статье сказано, что на таком АРМ (которое может включать в себя и, собственно, сервера) хранятся не все данные, а данные тех клиентов, которые изъявили желание работать по нормативам ФСТЭК в связи с характером своей деятельности и хранимой информации. Если все данные клиентов будут идти через «терьеров, secret net'ы» и другие защитные инструменты, клиенты сильно потеряют в скорости работы. Поэтому, естественно, что подобная сертификация говорит о том, что компания RUVDS уже имеет защищенное пространство и, что самое главное, по требованию заказчика может организовать сертифицированную защищенную инфраструктур под его конкретные требования.
В статье ИМХО немного путаница с понятиями «аттестация», «сертификация» и «лицензия». Создаётся впечатление что накиданы куски готовых текстов, собранные из разных источников и мало друг с другом связанные ( во второй половине статьи). Приведу пример:
В конце статьи речь идёт о получении лицензии ФСТЭК. Лицензии данной организации дают право проводить разные работы по защите информации, т.е. Вы становитесь Лизензиатом ФСТЭК ( список лицензиатов есть на сайте ФСТЭК). Таким образом Вы, вероятно, можете сами проводить аттестацию объектов информатизации и выдавать аттестаты соответствия. Говоря, что экономится деньги клиентов на аттестацию Вы таким образом имеете в виду, что Вы, выступая уже как системный интегратор, мало того что предоставите клиентам ресурсы ЦОД, так ещё и готовы сами это аттестовать за небольшую сумму (вероятно входящую в общую стоимость).
Аттестовать весь ЦОД как я понимаю не возможно ( т.к. Для каждой организации нужен свой собственный отдельный объект информатизации не связанный с другими).
Для получения лицензии нужно отвечать некоторым требованиям, в том числе аттестовать рабочие места себе. В этом плане понятна аттестация рабочих мест, хотя я не очень понимаю зачем аттестовывать СКУД (у вас там персональные данные высокой категории?).
Получены какие-л Сертификаты ФСТЭК я так и не понял, хотя это слово примелькалось несколько раз. Все Сертификаты имеют номера и так же выложены на сайте ФСТЭК (перечень их). Если их вы тоже получили то стоит их упомянуть…
На мой взгляд как специалиста по защите информации (но в другом немного направлении) все как то путанно :(
В конце статьи речь идёт о получении лицензии ФСТЭК. Лицензии данной организации дают право проводить разные работы по защите информации, т.е. Вы становитесь Лизензиатом ФСТЭК ( список лицензиатов есть на сайте ФСТЭК). Таким образом Вы, вероятно, можете сами проводить аттестацию объектов информатизации и выдавать аттестаты соответствия. Говоря, что экономится деньги клиентов на аттестацию Вы таким образом имеете в виду, что Вы, выступая уже как системный интегратор, мало того что предоставите клиентам ресурсы ЦОД, так ещё и готовы сами это аттестовать за небольшую сумму (вероятно входящую в общую стоимость).
Аттестовать весь ЦОД как я понимаю не возможно ( т.к. Для каждой организации нужен свой собственный отдельный объект информатизации не связанный с другими).
Для получения лицензии нужно отвечать некоторым требованиям, в том числе аттестовать рабочие места себе. В этом плане понятна аттестация рабочих мест, хотя я не очень понимаю зачем аттестовывать СКУД (у вас там персональные данные высокой категории?).
Получены какие-л Сертификаты ФСТЭК я так и не понял, хотя это слово примелькалось несколько раз. Все Сертификаты имеют номера и так же выложены на сайте ФСТЭК (перечень их). Если их вы тоже получили то стоит их упомянуть…
На мой взгляд как специалиста по защите информации (но в другом немного направлении) все как то путанно :(
Уважаемый Alexeistudio, действительно, сами нормативы ФСТЭК, процесс аттестации и сертификации настолько усложнен бюрократически, что запутаться можно совершенно легко.
Но на самом деле ответ на Ваш вопрос очень прост.
Именно выдать сертификат или аттестат мы не можем, мы можем предложить клиенту свою аттестованную инфраструктуру как аутсорс партнер, на чем в итоге клиент сможет сэкономить деньги, так как в таком случае ему не придется строить собственную инфраструктуру и тратить время и деньги на ее аттестацию и сертификацию.
Аттестовать ЦОД возможно, вопрос лишь в его размерах и денежных средствах того, кому он принадлежит. Однако, на практике, такие масштабы пока не нужны.
Требования аттестации рабочих мест есть потому, что, как правило, за этими рабочими местами работают люди, у которых есть доступ к защищаемой информации. Они могут вести на рабочем месте переговоры, печатать документы, отправлять материалы по почте. И все это должно фиксироваться, быть защищено от прослушивания. Именно поэтому аттестуют рабочие места. Что это означает на практике? То, что рабочие места оборудованы специализированным ПО, которое защищает от хакерских атак, взломов, вирусов, логирует все действия и так далее.
Именно на эти устройства и программные комплексы есть сертификаты ФСТЭК. Здесь можно найти сертификаты на средства защиты от прослушивания. А здесь — программное обеспечение, сертифицированное ФСТЭК.
RUVDS (компания ООО «МТ ФИНАНС») при этом обладает бессрочной лицензией, которая позволяет нам осуществлять деятельность по:
• Контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации,
• Проектированию в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
• Установке, монтажу, испытаниям, ремонту средств защиты информации (программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Скан-копия лицензии размещена у нас на сайте, а проверить ее так же можно на сайте ФСТЭК, введя в поиск «МТ ФИНАНС»
То есть мы можем спроектировать свою инфраструктуру под клиента, она будет отвечать все реальным требованиям ФСТЭК, она будет сертифицирована, но она будет наша, а не клиента. Клиент будет ей пользоваться на правах аренды и тем самым экономить свои средства и время.
Но на самом деле ответ на Ваш вопрос очень прост.
Именно выдать сертификат или аттестат мы не можем, мы можем предложить клиенту свою аттестованную инфраструктуру как аутсорс партнер, на чем в итоге клиент сможет сэкономить деньги, так как в таком случае ему не придется строить собственную инфраструктуру и тратить время и деньги на ее аттестацию и сертификацию.
Аттестовать ЦОД возможно, вопрос лишь в его размерах и денежных средствах того, кому он принадлежит. Однако, на практике, такие масштабы пока не нужны.
Требования аттестации рабочих мест есть потому, что, как правило, за этими рабочими местами работают люди, у которых есть доступ к защищаемой информации. Они могут вести на рабочем месте переговоры, печатать документы, отправлять материалы по почте. И все это должно фиксироваться, быть защищено от прослушивания. Именно поэтому аттестуют рабочие места. Что это означает на практике? То, что рабочие места оборудованы специализированным ПО, которое защищает от хакерских атак, взломов, вирусов, логирует все действия и так далее.
Именно на эти устройства и программные комплексы есть сертификаты ФСТЭК. Здесь можно найти сертификаты на средства защиты от прослушивания. А здесь — программное обеспечение, сертифицированное ФСТЭК.
RUVDS (компания ООО «МТ ФИНАНС») при этом обладает бессрочной лицензией, которая позволяет нам осуществлять деятельность по:
• Контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации,
• Проектированию в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
• Установке, монтажу, испытаниям, ремонту средств защиты информации (программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Скан-копия лицензии размещена у нас на сайте, а проверить ее так же можно на сайте ФСТЭК, введя в поиск «МТ ФИНАНС»
То есть мы можем спроектировать свою инфраструктуру под клиента, она будет отвечать все реальным требованиям ФСТЭК, она будет сертифицирована, но она будет наша, а не клиента. Клиент будет ей пользоваться на правах аренды и тем самым экономить свои средства и время.
Можно по подробней.
Если я как заказчик обращусь к Вам с целью размещения своей ИС, я получу аттестат соответствия на эту ИС? И какой максимальный класс будет?
Если я как заказчик обращусь к Вам с целью размещения своей ИС, я получу аттестат соответствия на эту ИС? И какой максимальный класс будет?
Добрый день, Vinni37, нет, мы не выдаем аттестаты и сертификаты.
Тогда не понятно
Как Вашего заключения будет достаточно что бы закрыть требования 17 приказа?
И при этом услуги, которые мы предоставляем, будут сертифицированы, а нашего заключения о проведенной работе по защите инфраструктуры клиента будет достаточно, чтобы тот мог отчитаться перед регулирующими органами.
Как Вашего заключения будет достаточно что бы закрыть требования 17 приказа?
Мы имеем право спроектировать инфраструктуру под ваше задание, осуществить монтаж и предоставить заключение о том, что данная инфраструктура соответствует требованиям по контролю защищенности конфиденциальной информации. Этого, как правило, достаточно, для того, чтобы работать в таком случае на арендованной инфраструктуре, выполняя при этом требования ФСТЭК.
Извините если мы друг друга не до понимаем но в 17 приказе написано что:
17.5. Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.
Да, вероятно, здесь есть недопонимание. Если говорить о, к примеру, ИСПДН, то да, она должна быть аттестована и, в принципе, этого достаточно. А вот если вы — компания, которая обладает лицензией ФСТЭК, и вам надо вынести данные в облако, то, вам нужен партнер, который так же обладает такой лицензией, тогда вы сможете воспользоваться его инфраструктурой.
В таком случае получается, что бы ввести в действие ИСПДН/ГИС, дополнительно необходимо третье лицо с аттестатом Аккредитации для проведения аттестационных испытаний и получения Аттестата соответствия.
Испдн не нужна аттестация, об этом ничего не сказано в 21 приказе. Есть оценка эффективности, которую оператор пдн может провести самостоятельно.
Ничего не понятно.
Аттестовались на соответствие требований чего? 17 приказа? СТР-К? Какого класса тогда у вас ОИ получился?
Аттестовались на соответствие требований чего? 17 приказа? СТР-К? Какого класса тогда у вас ОИ получился?
Sign up to leave a comment.
ФСТЭК даёт «добро»