13.10.2012

На проект ФСТЭК о ЗИ в ГИС

Во-первых, что глобально не так. Не определено и постоянно гуляет понятие системы защиты информации — то подразумевается система менеджмента, то ЛНА и СрЗИ, то ИС и СрЗИ, то фукции СрЗИ, то еще что. Чтение в итоге сюрреалистическое: система защиты информации разрабатывается по 51583, администрируется путем заведения пользователей в ИС, включает в себя обучение и т.п. По идее, 20 пункт стоит последним и содержит закрытый список, так что все выше него сказанное о системе защиты можно слать в сад, что смешно, но странно.

Далее. Вопреки заявленной цели соответствия трехглавому, документ оперирует конфиденциальной информацией. Положено — ограниченного доступа. Для нее требуется соблюдение конфиденциальности, конечно, но конфиденциалка в форме прилагательного, а не существительного, приветствуется только канделябром сейчас.

Разобрать оператора ИС опять не сочли нужным: один обладает информацией, другой владеет средствами обработки, третий эксплуатирует ИС — с кого спрос?

Инциденты не дожали: от обнаружения сразу к извлечению уроков — ни тебе локализации, сдерживания, выхода на рекавери или запасную схему функционирования, если устранение не удается, оценки остаточного ущерба и пр.

В 8 пункте забыли носители. Винт и флешку еще как-то можно под устройства подтянуть, наверно, но ленты и сидишки из объектов защиты точно выпадают таким образом.

В 15.0 и 15.1 потеряли фазу создания, внедрения или развертывания: после разработки сразу наступает тестирование у них. Хотя дальше соответствующая глава есть.

В мерах одеяло перетянуто виртуализацией, зато вообще не вошли синхронизация времени, защита маршрутизации, защита от подмены DNS и пр. Где вообще все сетевые плюшки? Что между легальными подсистемами должна быть только однонаправленная передача — это про фишинговый сервер никак не говорит, например.

К доверенной загрузке ДСГ.2 даже не знаю как относиться. В условиях обеспечения ЗТС.2 будут признавать неактуальной, вероятно.

Вроде все, остальное мелко совсем.

Компенсационный сувенир для тех обиженных читателей, кто не прожекторы (а инжекторы): "настройка средств защиты информации путем устранения возможных уязвимостей информационной системы", это из 15.1 цитата года.

Комментариев нет:

Отправить комментарий