Автор: Axel Phorest, Сам | 85105

12.01.2018 11:54

Здравствуйте увадаемые эксперты! Хочу задать Вам несколько насущных вопросов. 1. У меня на одной, достаточно обширной АС (автоматизированной системе), аттестованной для обработки информации с грифами ГТ, установленны несколько принтеров, обьемы печати с них достаточно большие. В АС установлены, как лазерные, так и струйные принтеры. С тем, что необходимо проводить спецпроверку установленных и устанавливаемых в них картриджей я уже смирился, но вот нужно ли вписывать устанавливаемые в них картртриджи в техпаспорт АС, учитывая, что процесс печати достаточно интенсивный и картриджи меняются очень часто, либо вообще существует мнение (не моё) о проведении аттестационных мероприятий после каждой замены картриджей? Добавлю, что картриджи чипованные, поэтому для них и проводится спецпроверка. 2. Как учитывать несьемные носители информации (жесткие диски), на которых обрабатывается ГТ, являющиеся частью СВТ (средства вычислительной техники)? Нужно ли им присваивать учетные номера или можно регистрировать по заводским серийным номерам? Нужна ли подпись в получении указанных носителей, если эти носители не носимые и на рабочем месте может работать большое количество пользователей, т.к. рабочие места многопользовательские, а также это могут быть сервера на которых хранится информация и пользователи получают к ней доступ по сети?

Автор: Hecc | 85106

12.01.2018 13:30

1. Мое мнение, что писать их в паспорт не надо. Тк в паспорте и так указано ТС в виде принтера. Аттестация тоже не нужна, достаточно спецпроверки. Вы же не пишете в паспорт всю начинку системного блока? По практике на многих объектах, которые мы обслуживаем делают так- несколько картриджей проверяют и кладут их в сейф. А сами пользуются непроверенными. А при проверках регуляторами достают спецпроверенные и пользуются ими. 2. Не подскажу, но как правило на многих объектах видел, что у каждого мни есть регистрационный номер и заводской. Подпись нужна, нужно же идентифицировать, кто берет носитель. По крайней мере сам постоянно за них расписываюсь. Самому интересно, что скажут коллеги по 1 пункту, как у других данный вопрос решается.

Автор: Евгений | 85109

12.01.2018 14:48

Axel Phorest, Сам | 85105 В документах на АС эти картриджи фигурируют? По второму вопросу, учитываются и выдаются также как и остальные носители сведений. Hecc | 85106 "Аттестация тоже не нужна, достаточно спецпроверки. Вы же не пишете в паспорт всю начинку системного блока?" Во первых вопрос аттестации решает орган по аттестации, выдавший аттестат соответствия на объект. Во вторых как это начинку системного блока не вносят в техпаспорт?

Автор: sekira | 85118	12.01.2018 18:06
"По второму вопросу, учитываются и выдаются также как и остальные носители сведений" Это где то написано что картриджи носители ? Есть требования к учету картриджей? В каких документах? "Во вторых как это начинку системного блока не вносят в техпаспорт?" Присоединяюсь к вопросу? ЖМД ? DVD? можно поменять и не чего типа?

Автор: oko | 85120

12.01.2018 18:39

1. Картриджи с памятью - по логике весьма серьезный вопрос, по факту - нужны исследования каждой модели/партии. Чем мало кто заморачивается (с привычной отмазкой типа "требований нет", ага). Но учитывать их отдельно (подчеркиваю) как МНИ, imho, перебор. А вот хранить, не вынося за КЗ, ремонтируя только в присутствие ответственного лица и проч. - это обязаловка, которая не должна подвергаться сомнению... 2. В техпаспорт начинка СБ не пишется (исключение, ЖМД и проч. фактические МНИ, к которым, кстати, сам по себе CD/DVD-привод не относится, ага). А вот ссылка на Заключение СП идет. В оном же Заключении указаны все подробности. Не надо плодить лишней бумаги. Изменился состав? Провели СП (СИ, по необходимости), подкололи Заключение к комплекту документов, сделали ссылку на него в ТехПаспорте = profit. Обязательно так? Как минимум, да... 3. Хорошим шагом будет учесть картирджи в составе принтера. Отдельным списком, чтобы знать и контролировать комплектность и соответствие Заключениям/Предписаниям. Обязательно? Без понятия, каждый раз (по проверкам) как в первый раз... ЗЫ Советы в стиле "положили в сейф, использовали без СП, на проверке вынули из сейфа и показали регулятору" no comments. Обслуживание ТС не запрещено, заправка чернил/тонера тоже. Все остальное - "дурной пример для октябрят" (с)

Автор: sekira | 85148	13.01.2018 16:56
"В оном же Заключении указаны все подробности" Не всегда. "А вот хранить, не вынося за КЗ, ремонтируя только в присутствие ответственного лица и проч. - это обязаловка, которая не должна подвергаться сомнению..." А где обязаловка в ИМХЕ закрепленном в документации на объект? Где конкретика или сами ... все сами (ну например в инструкции СВТ - обязательной).

Автор: oko | 85150	13.01.2018 18:46
to sekira Значит, говеные Заключения... А про обязаловку. Вы остальные составные части ОТСС за пределы КЗ выносите? Сторонним лицам передаете? Или под каждый чих нужна бумажка? То-то и оно...

Автор: sekira | 85157	14.01.2018 07:50
"Вы остальные составные части ОТСС за пределы КЗ выносите" Выносим когда ремонт или измерения или СП нужны. Процедуры регламентируем.

Автор: Александр | 85159	14.01.2018 16:37
Про съемные носители: два предписание делать, одно на СВТ и второе на НЖМД? Еще вопросик: про пункт СИ СМНИ в нем наверно опечатка: лабораторные проводить с ОТСС... Т.е. отдельно флешки СИ можно или нельзя? Походу будут изменения к требованиям и не одни...

Автор: o-lo-lo | 85177	15.01.2018 08:36
Еще если флешка шумит сильнее, чем что-то куда в что вставлено, ее вообще использовать нельзя, ее надо выкинуть. ДыА, вроде так как-то) Как так отдельно?

Автор: Александр | 85208	16.01.2018 09:10
Для класса 1Б есть требование применения серт. СКЗИ, в старом букваре был 6.8("лазейка"), в новом такого пункта нет. Кто как решает эту проблему для средних предприятий? Или как эту проблему решить? Конечно можно все валить на акт обследования и на еже с ними.

Автор: oko | 85210	16.01.2018 10:20
to Александр Оно и для 2А было... Но вопрос, конечно, серьезный. Аналогично дурацкой ситуации с заглушками, CD-R и проч. спорными моментами. Пока ссылаемся на <акт обследования и на еже с ними> и ждем новых требований по НСД...

Автор: Евгений | 85235	16.01.2018 18:49
Александр | 85208 А ничего что для вновь аттестуемых АС, класса 1Б (по РД-АС) не существует?

Автор: oko | 85236	17.01.2018 01:23
to Евгений Ждите инф.письмо с разъяснениями (в части НСД там тоже есть, ага) от местного Управления ФСТЭК (оно, в целом, общее, но рассылается каждым управлением самостоятельно, как показала практика) - поймете, к чему вопрос и означенная проблема...

Автор: 0-l0-l0 | 85237	17.01.2018 08:10
Классифицировать в соответствии со старыми классами относительно новых можно, если прочитать раза два, ДыА)) Придет муза - copypasta, к деятелю культуры, требования будут как и в старых. Но может быть и сюжет другим, неожиданным и интригующим. Ждем выхода, ремейка)

Автор: Александр | 85246	17.01.2018 09:17
то Евгений Скоро к вам придет письмо, где 2А = 1Б и смотреть пока до нового документа РД.

Автор: Евгений | 85263	17.01.2018 17:08
Александр | 85246 Я в курсе про данное соотнесение классов. Только одно НО, новый букварь писался не по требованиям РД АС, а под новые требования по нсд. Соответственно будет написано либо ничего про СКЗИ, либо при необходимости использовать сертифицированное СКЗИ. ФСТЭК не уполномочен в СКЗИ. А без лицензии ФСБ вы и прикасаться к нему не имеете права, не то что там проверять его.

Автор: Аноним | 85265	17.01.2018 17:37
Требования к подсистеме защиты информации от НСД составляют набор мер (раздел 4.4.) В данном наборе мер СКЗИ нет Вывод игнорировать Требования к СКЗИ могут оставить для ОИ 1 категории которые находятся в совместном ведении ФСТЭК и ФСБ Но для большинства лицензиатов это не является проблемой

Автор: oko | 85280

17.01.2018 23:02

to Аноним Оный набор мер звучит (в большинстве своем) как набор из 17 Приказа. И, если провести параллель, то можно и на криптозащиту выйти (в подпунктах, которые пока не раскрыты). Вот про доверенную загрузку тоже явно в этом наборе не сказано, но все прекрасно понимают, что она будет обязательна... Вывод: нечего сейчас рассуждать о том, что де имел в виду регулятор и что будет. Перефразируя старую хохму: весна придет - покажет кто, где и сколько, ага... to Евгений Так и со старым букварем было. Только еще была явно указанная "лазейка". В новом ее либо сознательно (что вряд ли), либо по глупости (что вероятнее) прикрыли. Но, поскольку явных толкований пока нет, а инф.письмо пусть и официальный документ, но на полноценный НМД не тянет - постольку советую не гадать на кофейной гуще и сосредоточиться на том, что куда как критичнее: зоны, проблемы с ВП, заглушки (не к ночи упомянутые) и проч. не раз уже поднятые здесь вопросы...

Автор: Axel Phorest, Сам | 85285	18.01.2018 07:37
На счет установки заглушек. Сначало тоже заморочился но потом внимательно посмотрел на реализацию компьютеров в защищенном исполнении (типа "Обруч"), там все USB порты просто обернуты фольгой. Думаю если решения по заглушкам не найдется, поступить также.

Автор: oko | 85318	18.01.2018 13:01
to Axel Обруч же по линии 'другого регулятора' (или я отстал от жизни?), а там такого бреда нет (есть другой, ага)...

Автор: Axel Phorest, Сам | 85322

18.01.2018 13:32

Так вот, ответ на мой вопрос не найден. Нужно ли вносить картриджи принтеров в техпаспорт? У нас в месяц уходит до 10 картриджей, аттестат действует до 20 года, картриджи покупают по мере необходимости, так что вписать дофига-дофига картриджей до 20г. не получится, а перерабатывать и переутверждать техпаспорт каждый раз после закупки и спецпроверки картриджей (это примерно 1 раз в квартал), мне не улыбается. Вопрос открыт...

Автор: WORM, MK | 85323	18.01.2018 13:44
to Axel Phorest Исходите строго из нормативной базы. Есть определения понятий "Средство защиты информации", "ОТСС", "ВТСС", "ПО" и пр. Картридж вроде как не является ни тем, ни другим, ни третьим ни даже четвертым. Вывод: что ему делать в ТП?

Автор: Евгений | 85325

18.01.2018 14:06

Axel Phorest, Сам | 85322 Я же Вам задал вопрос, картриджи фигурируют в техническом паспорте или нет? Если нет, то ничего и не пишите. "а перерабатывать и переутверждать техпаспорт каждый раз после закупки и спецпроверки картриджей (это примерно 1 раз в квартал), мне не улыбается." А зачем его перерабатывать, переутверждать? Если память мне не изменяет в техпаспорте есть лист регистрации изменений. Вот в нем и пишите ручкой заменен такой-то такой-то картридж на такой-то такой-то, реквизиты документа по СП, дата, подпись , расшифровка.

Автор: Velmann | 85350

19.01.2018 10:20

to Axel Phorest так, сейчас чужую беду руками разведу. Решение 172 предусматривает учет всей техники, которая прошла СП, вменено в обязанности начальника по ТЗИ. Можете в ТП это делать, можете отдельно вести учет. В ТП заводите отдельную табличку и пишите картриджи каждый раз, как есть новое заключение СП на картриджи. При этом отмечаете в листе внесения изменений реквизиты этих заключений, а в табличке номер изменения в кружочке. При это ведете учет списания использованных картриджей. Как-то так. Если что, мнение мое высказано в роли органа по аттестации.

Автор: oko | 85355	19.01.2018 11:04
to Velmann Не встречал в 172 такого. Перечитаю, спасибо. Или подождем тов. sekira - он нас рассудит своим знанием НМД, ага :) <Если что, мнение мое высказано в роли органа по аттестации> - забавная ситуация, когда органы "одной функциональности" переписываются между собой. Не в ключе факта забавная, а с точки зрения русского языка...

Автор: sekira | 85363

19.01.2018 12:57

"Или подождем тов. sekira" Решение 72 необязательное (почитайте начало).... (это все го лишь видение регуляторов). Учет техники с СП не регламентирован. Вот если вы в своей Инструкции напишите то введете для организации требования. Вопрос открыт не в делопроизводственном букваре не в обоих букварях по ТЗИ этот вопрос не решался и подходов для зацепится нет... За исключением некоторых Заключений по СП где иногда для некоторых моделей некоторые лицензиаты предписывают что делать. Белое пятно и посей день которое закрывает сам как хочет. Регулятор на вопросы мычит... причем оба. Обычно никто ничего не делает... не учитывает и т.д. Только СП.

Автор: WORM, MK | 85364	19.01.2018 13:25
to Velmann А "начальник по ТЗИ" это кто и где про такого написано? to sekira Насчет необязательности 172-го. Инструкция 172 это решение МВК. А решения МВК, как гласит Указ Президента 1286, обязательны для исполнения. Интересно, тов. sekira, как Вам удается убеждать проверяющих из ФСБ, что указы Президента для Вас необязательны? Поделитесь опытом.

Автор: Velmann | 85365	19.01.2018 13:51
to sekira да, присоединяюсь к WORM, попробуйте объяснить местным проверяющим ФСБ о необязательности 172 Решения.И неважно, что он написан в стиле "что вижу,то пою". Уточню пункт позже про требования во ведению учета СП.

Автор: sekira | 85372	19.01.2018 19:47
"Вам удается убеждать проверяющих из ФСБ" А зачем? Инструкция есть согласована, бреда про учет ТС СП там нет. "Насчет необязательности 172-го" Немного не поняли это не требования!! Требования в букварях. Почитайте внимательно первые параграфы решения. Я не обязан буква в букву написать свою как в типовую! "Уточню пункт позже про требования во ведению учета СП." окромя 172?

Автор: WORM, MK | 85374	19.01.2018 20:15
Т. е. Вы так и говорите "не требования", а ФСБ говорит "ОК, делайте, как хотите" ? Правильно я понял? Про учет СП я не спрашивал, там этого нет, согласен. Но вот про необязательность... Скажем, методики ФСТЭК тоже не требования. Так забейте на них, и меряйте по-своему.

Автор: oko | 85386

20.01.2018 01:28

*в сторону* Высшей волей сказано: "все решения такого-то лица обязательны". Лицо, в свою очередь, пишет в своих бумагах: "рекомендуется делать так". Что же в итоге делать простому смертному? Ответ - не искать сакральный смысл там, где его нет. Т.е. решения оного лица для смертных не должны подвергаться сомнению, это да. Но рекомендательные решения оного лица остаются рекомендательными. В обязаловку они могут превратиться, если смертный у себя решит: действуем четко по бумажке оного лица, не отступая ни на шаг, не предлагая альтернатив, исходя из (мать его так, надоело уже повторять) специфики своих ОИ. Вот тогда обязаловка по полной программе, до каждой буквы и запятой. Аналогичную ситуацию с 17 Приказом для коммерсов на этом форуме уже обсуждали - что изменилось? Хотя да, сегодня до 172 так и не добрался, поэтому про рекомендательный характер "у первых строках" сей бумаги пишу навскидку. Если не прав, прошу сильно не ругать... :) А вообще, товарищи, только мне смешно от <перерабатывать и переутверждать техпаспорт ... примерно 1 раз в квартал ... мне не улыбается>? Тем более, что кардинальных изменений не вносится - возьмите себе уже за правило составлять Акт по необходимости и подшивать его к делу (с ссылкой в том месте техпаспорта, на которое уже указал тов. Евгений, ага). Тут порой бывает, что полный комплект аттестационной документации пару раз в год переделывать приходится, а вы говорите...

Автор: sekira | 85394

20.01.2018 18:08

"Скажем, методики ФСТЭК тоже не требования." Передергиваете!! В букварях есть ссылки. В методиках есть ссылки на обязательность. Про 72 почитайте все таки первые страницы ну не могу же я вам цитировать... и вообще разговор заходит за край. Не нравятся мои слова читайте я же не сам придумал. Началось с картриджей закончили небось чем... Тема за года про Инструкцию подымалась много раз... "Так забейте на них, и меряйте по-своему" А вот это вообще мимо было... касательно меня. За катриджи белое пятно... тоже тема избита за года на форуме. Новый букварь пятно не покрыл. Ждем еще один новый букварь по режиму.

Автор: oko | 85398	20.01.2018 20:31
to sekira Сомневаюсь, что будет новый режимный букварь в обозримом будущем. Секретчики, зачастую, люди пожилые. Их кондратий хватит, если 3-1 поменяют...

Автор: sekira | 85400	21.01.2018 08:43
скоро поменяют... и кондратий хватит..

Автор: o-lo-lo | 85409	22.01.2018 09:03
Придут молодые, и все поломают, и ерунда напишут... Теоретические мысли, без научно-опытных и исследовательских работ....

Автор: Velmann | 85410

22.01.2018 11:51

Уточняю пункт Решения 172: п.61, перечисление 6 Там как раз вменен учет СП в обязанности. to sekira видимо, мной предложенный вариант тут никого не устроил, хотя он и не предусматривает выдумывать эти сложные построения с актом внесения изменений. Само заключение об СП и есть основание для внесения изменений, а лист внесения изменений - обязательная часть такого документа как ТП. Единственное, теперь в свете новых Требований - это ж изменение базовой конфигурации объекта со всеми вытекающими...

Автор: Интернет-магазин Zoome, Интернет-магазин Zoome | 85506

24.01.2018 17:22

В интернет -магазине zoome.by Вы сможете выбрать чехлы для сотового, мобильного телефона, чехлы для планшетов, чехлы как для практичных людей, так для ценителей настоящего искусства. Мужчины смогут сделать потрясающий подарок, своим обворожительным дамам приобретя чехол со стразами, из коллекции в нашем интернет-магазине zoome.by. В каталоге вы найдете то, что подойдет именно вам! Мы учитываем все ваши пожелания и максимально точно, поможем выбрать то, что идеально подходит именно вам.

Автор: Интернет-магазин Zoome, Интернет-магазин Zoome | 85507

24.01.2018 17:23

В интернет -магазине zoome.by Вы сможете выбрать чехлы для сотового, мобильного телефона, чехлы для планшетов, чехлы как для практичных людей, так для ценителей настоящего искусства. Мужчины смогут сделать потрясающий подарок, своим обворожительным дамам приобретя чехол со стразами, из коллекции в нашем интернет-магазине zoome.by. В каталоге вы найдете то, что подойдет именно вам! Мы учитываем все ваши пожелания и максимально точно, поможем выбрать то, что идеально подходит именно вам. https://zoome.by

Автор: Алекс | 85620	25.01.2018 12:31
Добрый день! Вопрос такой: Как разрабатывать ПО для использования на аттестованных АРМ? Т.е. есть необходимость разработки секретного ПО. Средства разработки и отладки вроде как нельзя использовать на аттестованных АРМах. А хочется на аттестованный АРМ поставить Visual Studio (даже лицензионный) и разрабатывать... И использовать это ПО тут же на этом же аттестованном АРМ или аттестованной сети...

Автор: oko | 85627	25.01.2018 16:44
to Алекс Да ексель-моксель, учитесь же парсить форум на предмет однотипных вопросов. Эта тема уже разбиралась (ни к чему, кстати, не пришли)...

Автор: sekira | 85671	26.01.2018 16:30
ни к чему, кстати, не пришли Ждем ГИС ГТ может сподобятся..

Автор: oko | 85691	26.01.2018 21:44
to sekira Сомневаюсь. Очень выгодно оставлять такие вопросы "открытыми", ага...

Автор: nekto | 85954	30.01.2018 10:40
Про разработку секретного ПО. Почему не пришли... Если алгоритмы не секретные, то и разрабатываются на других АРМ-ах... А всё вместе, с некоторыми секретными данными, собирается без использования средств разработки простым копированием...

Автор: oko | 85956

30.01.2018 11:19

to nekto А как вы будете с "секретными" алгоритмами работать, если на АРМ-ГТ запрещена установка средств отладки ППО? Ели речь заходит о полноценных средах разработки - студии, framework'и и проч. - то вы явно мимо 3Б - 2А (по старой классификации) пролетаете. С "...отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации..." много неясностей, об этом, собственно, дискуссия основная и была ранее - в ней ни к чему не пришли... Если же алгоритмы и сам код "не секретный", то все бы хорошо, но есть нюанс с передачей НС-информации в память ГТ-машин (см. новый букварь). Что значительно усложнит процесс разработки СПО, imho... Кстати, товарищи, как считаете, что делать с нашумевшей связкой Spectre+Meltdown? Целостность защищаемой информации теперь де факто гарантировать вряд ли возможно - СЗИ НСД, насколько мне известно, вопросы KPTI не решают + латать дыры на уровне каждого отдельного ППО по схеме "джентльменского доступа к регистрам памяти" - это иллюзия безопасности, не более...

Просмотров темы: 12043

Copyright © 2004-2019, ООО "ГРОТЕК"