Ш
например, серверный сегмент - К2, пользовательский - К3 и т.п.
Пользовательский сегмент с серверным не взаимодействует, или как вы в этом случае будите описывать технологию обработки данных?
Size: a a a
2019 August 08
А
не имею отношения к банкам но с удовольствием бы почитал для общего развития, если направите на документ
Сто бр иббс 1.0-2014 и свежие 4-мр от 09.02.19
А
Пользовательский сегмент с серверным не взаимодействует, или как вы в этом случае будите описывать технологию обработки данных?
а с чем тогда клиент взаимодействует? я лишь описал как пример, можете сегменты как угодно называть и детализировать, 17 приказ это не запрещает
Ш
По информации от сотрудников ФСТЭК нельзя разделять сегменты так, чтобы в них не прослеживалась полная технология обработки данных, то что вы предложили, типо сервера в одном у нас сегменте, а пользователи которые взаимодействуют с этим сервером в другом, так делать нельзя
Ш
И у сервера и АРМ должен быть один класс
А
Алена
Сто бр иббс 1.0-2014 и свежие 4-мр от 09.02.19
спасибо
А
По информации от сотрудников ФСТЭК нельзя разделять сегменты так, чтобы в них не прослеживалась полная технология обработки данных, то что вы предложили, типо сервера в одном у нас сегменте, а пользователи которые взаимодействуют с этим сервером в другом, так делать нельзя
п. 14.2 "Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей)."
Ш
п. 14.2 "Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей)."
Все верно
S
Алена
Сто бр иббс 1.0-2014 и свежие 4-мр от 09.02.19
Алена, спасибо! 💐
Сто бр, вроде, как рекомендуемый стандарт и еще действует, но, фактически, под отстрел...
4-мр, вроде как рекомендация. Но для банков, даже рекомендации ЦБ, можно сказать, обязательны для исполнения. Ноги по ЕБС растут из 4859-У. Там формулировки про угрозы, но что за угрозы, никто не знает.
Сто бр, вроде, как рекомендуемый стандарт и еще действует, но, фактически, под отстрел...
4-мр, вроде как рекомендация. Но для банков, даже рекомендации ЦБ, можно сказать, обязательны для исполнения. Ноги по ЕБС растут из 4859-У. Там формулировки про угрозы, но что за угрозы, никто не знает.
А
На здоровье😁 Если хочется «свежатинки», то ГОСТ 57580.1 еще можно прсмотреть
S
Алена
На здоровье😁 Если хочется «свежатинки», то ГОСТ 57580.1 еще можно прсмотреть
А там практически то же, что и в СТО БР, только для первого УЗ. Это т.н. значимые фин организации и т.д.
2019 August 09
А
А там практически то же, что и в СТО БР, только для первого УЗ. Это т.н. значимые фин организации и т.д.
Там есть что почитать. Много того, что было в сто бр, да. Но там и дополнительные ньюансы есть. Например, сто бр не был столь суров к контролю действий пользователей (см. Меры со знаком Т), виртуальной инфраструктуре. Есть отдельная рс по виртуальной инфраструктуре, но написана она так, что некоторые меры даже админы не поняли, что именно от них хотят🙄
S
И более того, там есть требования в "сетевых разделах", которые вообще абсолютно никто не понимает!
Это СМЭ.2, СМЭ.14, СМЭ.15, ЗБС.4 и ЗБС.5, где про уровни сетевого взаимодействия и изоляцию сегментов сети или и-нета.
Это СМЭ.2, СМЭ.14, СМЭ.15, ЗБС.4 и ЗБС.5, где про уровни сетевого взаимодействия и изоляцию сегментов сети или и-нета.
AI
И у сервера и АРМ должен быть один класс
если ИС представляет из себя тонкий клиент(веб-ресурс) и хранение, обработка данных производится в серверном сегменте в БД и в сервере приложений. Сам веб ресурс защищен PTAF. Аттестовывать всех кто работает в этой системе по 2 классу с установкой СДЗ в соответствии с УПД.17?
VM
если ИС представляет из себя тонкий клиент(веб-ресурс) и хранение, обработка данных производится в серверном сегменте в БД и в сервере приложений. Сам веб ресурс защищен PTAF. Аттестовывать всех кто работает в этой системе по 2 классу с установкой СДЗ в соответствии с УПД.17?
С точки зрения ИБ, по меньшей мере ФСТЭК, это не тонкий клиент
AI
по технологии обработки информации тонкий клиент и веб-ресурс практически одно и то же
AI
есть тогда идеи по защите ГИСов - веб ресурсов?
А
есть тогда идеи по защите ГИСов - веб ресурсов?
сегментация и классификация отдельных сегментов
А
и дальше требования - в зависимости от класса