GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
Наезд Управления делами президента Р printer friendly version
next newest post | next oldest post
Author Messages
PivuSan
Private

Gender: Unspecified
Location:
Registered: Aug 2007
Status: Offline
Posts: 2

Click here to see the profile for PivuSan Send email to PivuSan Send private message to PivuSan Find more posts by PivuSan Edit or delete this message Reply w/Quote
Posted Wednesday, August 22, 2007 @ 10:44:29  

На днях от Федерального гос. унитарного предприятия "Предприятия по поставкам продукции Управления делами президента РФ" мое государственное научное учереждение получило интересное письмо, в котором нам настоятельно рекомендовалось, при покупке лицензионного программного обеспечения обязательно требовать, чтобы оно было сертифицированным по требованиям безопасности информации № РОСС RU.0001.01БИОО. При этом неявно предполагалось, что закупки такого ПО должны быть произведены нами именно у этого "предприятия". Руководство института поручило мне разобраться. В связи с этим два вопроса:

1.Действительно ли необходимо использовать сертифицированное ПО на компьютерах обрабатывающих сведения конфиденциального характера (перечень таких сведений посмотрел по Указу Президента Российской Федерации от 6 марта 1997 года № 188), и в каком нормативном документе явно указана такая необходимость (для гос. учереждения)?
2.Если применеие сертифицированного ПО действительно необходимо, то можно ли воспользоваться в нашем случае так называемым "Минимальным пакетом" сертификации (как самым дешевым)?
Спасибо всем кто до этого момента дочитал



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Wednesday, August 22, 2007 @ 19:28:42  

Короткий ответ на оба вопроса - Да (если речь идет о защите государственных информационных ресурсов).
Подробнее о неоднозначности ситуации в данной области и трудностях связанных с реализацией существующей нормативной базы в области ИБ уже писалось:
http://iso27000.ru/chitalnyi-zai/mneniya/chto-meshaet-razvitiyu-ib-v-rossii/

Эта необходимость явно указана в СТР-К (документ ДСП поэтому не все читали).

Вот выписки из документа, в которых говориться о необходимости сертификации:

Настоящий нормативно-методический документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее - конфиденциальная информация) на территории Российской Федерации .

Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами 1, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.

Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации.
Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями настоящего документа.

В качестве основных мер защиты информации рекомендуются использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; использование сертифицированных средств защиты информации;

Для управления, контроля защищенности ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.

--------------------

PivuSan
Private

Gender: Unspecified
Location:
Registered: Aug 2007
Status: Offline
Posts: 2

Click here to see the profile for PivuSan Send email to PivuSan Send private message to PivuSan Find more posts by PivuSan Edit or delete this message Reply w/Quote
Posted Thursday, August 23, 2007 @ 11:33:41  

Да, спасибо за подробные разъяснения поставленных вопросов!
После написания ответа "Предприятию по поставкам продукции Управления делами президента РФ" попытаюсь разобраться с нормами Указа Президента № 611 от 2004 г.
запрещающего « осуществлять включение ИС, сетей связи и автономных ПК, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения в интернет ".
Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 20
There are currently 0 members and 20 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex