Комментарии 18
Статья интересная, но поверхностная, на мой взгляд. В лицензировании ФСТЭК немало подводных камней и всяких сложностей.
Александр @aleksluov , если не секрет, что конкретно из контрольно-измерительного и испытательного оборудования, а также программных (программно-технических) средств закупил "Флант" для осуществления лицензионных работ по разработке и производству программных средств защиты информации? Например, какие 3 сертифицированных антивируса приобретали? Во сколько, по стоимости, всё обошлось?
а у нас есть три сертифицированных антивируса?! два только в руках держал... )
К сожалению, такую информацию не могу распространять в публичном пространстве, так как перечень средств защиты у нас относится к конфиденциальной информации. Но могу сказать, что из перечисленных выше антивирусов есть те, которые мы используем. Правда на сегодня где-то сертификат уже может быть недействительным. А еще нужно учитывать, что требования как и перечни средств защиты могли поменяться.
Про двери и всякие акустические излучатели — какой-то феерический маразм
Вы не правы. Очень сложно подыскать помещение в здании, которое обеспечивает нужный уровень шумоизоляции. Без использования акустических излучателей аттестовать защищаемое помещение (ЗП) фактически невозможно, только если это помещение изначально не конструировалось с хорошим уровнем шумоизоляции.
Другое дело, зачем пришлось менять дверь, неужели акустический излучатель настолько был плох? Мы также используем "Муссон" нареканий нет, хотя, справедливости ради, и дверь у нашего ЗП глухая, "архивная". Возможно, колонку не откалибровали, например, тем же "Камертоном".
Самый главный вопрос: а что такого супер конфиденциального за этими железными дверями происходит?
Какие-то переговоры с клиентами?
Сервера, на которых происходит сборка "сертифицированного" билда?
Разработчики сидят?
Или это всё один большой очередной театр безопасности?
Это просто один из пунктов Приказа о получении лицензии, что должно быть. Как и измерительное оборудование, которым, как я полагаю, после покупки никто использовать не будет.
Об этом и вопрос - на сколько оправданы эти требования
не театр - цирк... современное развитие средств съема информации и коммуникации до конца не учитывает. GPS|GSM глушитель? Диктофон отложенной с пакетной отправкой данных как спектро-анализатором найти?
Ну фиг знает, я участвовал в подготовке документов для ... ну неважно, в общем тоже про защиту ПДн, где речь шла про миллионы человек.
Писанины очень много, подобных вот закидонов очень много, из них реально кое-как применимо к нашей ситуации процентов 30. А потом уже на финишной прямой довелось поучаствовать в разговоре с тащ майором, и он так байками и прибаутками объяснил назначение ещё процентов 30 "закидонов". Т.е. мы просто не понимали, каков может быть вектор атаки. В общем, я не люблю писанину ради писанины, но здравого в этих требованиях очень много. Даже если это не очевидно.
Что касается вопроса "что происходит за железными дверями" - ну так у них одна из лицензий на работы по защите, а значит у них почти со 100% вероятностью будет группа разбора инцидентов. Которая будет оперировать а) информацией о дырах в защищаемых объектах и б) реальными ПДн, причём конкретно им эти ПДн никто передавать не разрешал. И вот тут защита помещения от прослушки не кажется такой уж надуманной.
Ещё лицензии ФСТЭК России нужны, чтобы сертифицировать средство защиты информации, в нашем случае — Kubernetes-платформу.
О процессе сертификации платформы тоже было бы интересно прочитать. Условно говоря, как прийти с кастомным решением даже на open source стеке к регулятору, объяснить как и для чего. Если правильно понимаю, то софт тоже аудит проходит?
Как получить лицензию ФСТЭК России. Опыт «Фланта»: процесс, сложности, советы