Комментарии 3
Все правильно пишете и жизненно. Я сам работаю в аттестующем органе и занимаюсь аттестациями. В последнее время клиенты все чаще хотят перенести свою серверную часть в «аттестованный ЦОД», а мы часто пытаемся их от этого отговорить в том числе по следующим причинам:
1. Как вы и написали в своей статье — непонятно как и что там аттестовано. Это усугубляется еще и тем, что в качестве доказательства предъявляют титульный лист аттестата и всё… где просто написано «такая-то система аттестовано по 1 классу», на просьбу показать техпаспорт или приложения к аттестату, говорят (вполне в общем-то резонно), что эта информация ДСП и идите лесом.
2. Даже при нормальной аттестации нет гарантий, что получив аттестат, оператор ЦОДа тут же не снесет средства защиты и не поставит на межсетевом экране правило «можно ходить всему во все стороны». После аттестации никакого контроля поддержания уровня защищенности со стороны аттестующего органа нет.
3. В 17 приказе ФСТЭК добавили пункт 17.6, в соответствии с которым мы аттестовывая систему, уехавшую в облако не должны пристально смотреть в аттестат ЦОДа, просто принимаем к сведению, что он аттестован и все. Изучаем только те ресурсы, которые непосредственно выделили заказчику. Смотрим, например, что на его виртаульном сервере стоит антивирус и тд. На просьбу к оператору ЦОДа посмотреть как защищена инфраструктура в целом — могут послать далеко и на долго.
Особенно печально когда в такое «защищенное» облако переезжает государственная медицина.
З. Ы. Доколебусь до Схемы 3. Нормальный аттестатор не выдаст аттестат на такую систему, которая называется «Центр обработки данных». Потому что при аттестации также изучаются заявленные техпроцессы обработки данных реальной ситуации, а само понятие ЦОД подразумевает взаимодействие с сетью. Нормальный аттестатор тут начнет задавать неудобные вопросы. Хотя что это я, ненормальных (например, аттестующих ГИС по РД АС) у нас тоже хватает.
1. Как вы и написали в своей статье — непонятно как и что там аттестовано. Это усугубляется еще и тем, что в качестве доказательства предъявляют титульный лист аттестата и всё… где просто написано «такая-то система аттестовано по 1 классу», на просьбу показать техпаспорт или приложения к аттестату, говорят (вполне в общем-то резонно), что эта информация ДСП и идите лесом.
2. Даже при нормальной аттестации нет гарантий, что получив аттестат, оператор ЦОДа тут же не снесет средства защиты и не поставит на межсетевом экране правило «можно ходить всему во все стороны». После аттестации никакого контроля поддержания уровня защищенности со стороны аттестующего органа нет.
3. В 17 приказе ФСТЭК добавили пункт 17.6, в соответствии с которым мы аттестовывая систему, уехавшую в облако не должны пристально смотреть в аттестат ЦОДа, просто принимаем к сведению, что он аттестован и все. Изучаем только те ресурсы, которые непосредственно выделили заказчику. Смотрим, например, что на его виртаульном сервере стоит антивирус и тд. На просьбу к оператору ЦОДа посмотреть как защищена инфраструктура в целом — могут послать далеко и на долго.
Особенно печально когда в такое «защищенное» облако переезжает государственная медицина.
З. Ы. Доколебусь до Схемы 3. Нормальный аттестатор не выдаст аттестат на такую систему, которая называется «Центр обработки данных». Потому что при аттестации также изучаются заявленные техпроцессы обработки данных реальной ситуации, а само понятие ЦОД подразумевает взаимодействие с сетью. Нормальный аттестатор тут начнет задавать неудобные вопросы. Хотя что это я, ненормальных (например, аттестующих ГИС по РД АС) у нас тоже хватает.
Ооо! Есть варианты для проведения схемы 3 в жизнь (встречался):
1. Оператор ЦОД говорит, что: «Это всего лишь название. Начальник/хозяин/хозяйка очень хочет. Меня уволят/лишат премии. Это же ничего не нарушает. Нет такого закона, что я не мог назвать свою ИС как хочу...».
2. Аттестующая организация выигрывает конкурс. В ТЗ прописано: «Результатами работ являются следующие документы:… аттестат соответствия», без уточнения «в случае положительных результатов аттестационных испытаний». А дальше Заказчик: «Да, вы можете не дать аттестат, но тогда, я не смогу подписать акт приёмки, т.к. по формальным признакам вы не выполнили контракт. А ещё я подам в ФАС вашу организацию, как недобросовестных поставщиков.» Вот лицензиат и думает, что можно потом и исключить себя из реестра недобросовестных, но на весь период разбирательств — выполнять контракты будет нельзя.
3. Как вы и написали — слабый/свой лицензиат.
4. Самому себе можно аттестат выписать))) Кто ж проверит?
Может ещё что, но думаю и этих вариантов за глаза для существования схемы 3 в жизни
1. Оператор ЦОД говорит, что: «Это всего лишь название. Начальник/хозяин/хозяйка очень хочет. Меня уволят/лишат премии. Это же ничего не нарушает. Нет такого закона, что я не мог назвать свою ИС как хочу...».
2. Аттестующая организация выигрывает конкурс. В ТЗ прописано: «Результатами работ являются следующие документы:… аттестат соответствия», без уточнения «в случае положительных результатов аттестационных испытаний». А дальше Заказчик: «Да, вы можете не дать аттестат, но тогда, я не смогу подписать акт приёмки, т.к. по формальным признакам вы не выполнили контракт. А ещё я подам в ФАС вашу организацию, как недобросовестных поставщиков.» Вот лицензиат и думает, что можно потом и исключить себя из реестра недобросовестных, но на весь период разбирательств — выполнять контракты будет нельзя.
3. Как вы и написали — слабый/свой лицензиат.
4. Самому себе можно аттестат выписать))) Кто ж проверит?
Может ещё что, но думаю и этих вариантов за глаза для существования схемы 3 в жизни
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как убедить всех, что у тебя защищённый ЦОД?