Комментарии 12
Добрый день. А как обстоят дела средствами защиты кроме межсетевого экрана (антивирус, средства защиты от НСД, защита виртуализации, СОВ и т.д.), заказчики сами предоставляют/выбирают или есть какой то стандарт? Еще вопрос на счет VPN на текущий момент FortiGate имеет сертификаты ФСБ?
Здравствуйте!
По поводу выбора: можно использовать свои или наши. Обычно клиентам, которым необходима аттестация и есть представление о необходимых для нейтрализации актуальных для их системы угроз, сертифицированные ФСБ СКЗИ (ГОСТ VPN) не предоставляем. Но вы можете разместить и подключить собственные аппаратные СКЗИ или использовать виртуальные.
Список предоставляемых межсетевых экранов с IPS (в т.ч. сертифицированных ФСТЭК): https://selectel.ru/services/additional/firewall/?section=vendorsFirewall
Cписок предоставляемых средств защиты, которые обычно есть в наличии: https://selectel.ru/services/is/dswes/?section=infrastructure (но можем предоставить и другие, включая WAF и SIEM)
Дополнительные средства защиты, необходимые для прохождения аттестации по 17 приказу ФСТЭК, предоставляются.
ух... Сертифицированные ФСБ СКЗИ, сертифицированные ФСТЭК МЭ, СОВ, скорее всего контроль потоков еще нужен?
В Selectel для уничтожения информации используют «Импульс-7У» и «Импульс-7У SSD» для HDD- и SSD-дисков соответственно. Накопитель достаточно положить в устройство — и диск превратится в простую «железку».
Мы использовали СТЕК-НС1В для НЖМД, у Импульса сертификат соответствия на гарантированное уничтожение информации есть?
Отсутствует. Для уничтожения информации в наших системах предусмотрены сертифицированные программные СЗИ.
В случае же нерабочих дисков применяем «Импульс», что является аналогом физического уничтожения (при применении устройства чипы дисков повреждаются).
Оборудование, которое арендует клиент, размещено в ИС «Инфраструктура», где провайдер обеспечивает его функционирование и физическую безопасность. За логическую безопасность размещаемой системы отвечает клиент.
Провайдер отвечает только за свою инфраструктуру и соответственно аттестована именно она.
Для того, чтобы сократить затраты и ускорить запуск своего сервиса, клиент может взять по подписке необходимые средства защиты и сервисы, которые функционируют в ИС «Управляемые сервисы». А для того, чтобы полностью сфокусироваться на развитии своего бизнеса, может передать нам и администрирование этих средств защиты. Услуга оказывается с аттестованных рабочих мест ИС «Администрирование».
Клиент может использовать по подписке наши средства защиты и выполнить требования ФСТЭК, сократив затраты на закупку и эксплуатацию собственного ПО.
А какие СКЗИ доступны? И соответственно, если у клиента ИСПДН, то на неё ваш аттестат не действует, ему нужно проходить аттестацию на свою систему самостоятельно, как и выстраивать всю систему защиты, не говоря уже о тонне необходимых для аттестации документов. И вот к чему я, паспорт формуляр как клиент получит на СКЗИ? там как бы должна быть наклеечка и фейсы при проверке по линии перс данных будут спрашивать именно физический вариант паспорта, а не скан. Поскольку это подписка, а не покупка напрямую, то запросить у производителя формуляр не получится.
Но самое прикольное это КЗ в аттестате клиента, мол она обеспечена и аттестована согласно аттестата 3479.00001.2022, а фейсы такие покажи доки на него, а ты не могу...
У вас в аттестате указано, что запрещается вносить изменения а конфигурацию программных, программно-технических средств, СЗИ, ну и заменять их. Но добавления маршрута на межсетевой экран для клиента это тоже изменения в программно-технических средствах. Вы будете письменно спрашивать разрешение у ООО Акрибия?
Из аттестата становится ясно, что он только на вашу инфраструктуру, то есть залить сервер с ИСПДН и обрабатывать ПДН на готовое из коробки решение не получится.
Здравствуйте!
А какие СКЗИ доступны?
В настоящий момент мы не предоставляем нашим клиентам СКЗИ, сертифицированные ФСБ России.
... то на нее ваш аттестат не действует...
Как и указано в статье, аттестат распространяется на нашу инфраструктуру. Клиент же, при необходимости, обеспечивает аттестацию собственных систем, размещаемых на ее базе. Вместе с тем результаты нашей работы помогают клиенту в выполнении требований ИБ. Например, мы берем на себя реализацию всех мер, касающихся физической безопасности, предоставляем клиенту результаты оценки угроз, которые он может использовать при моделировании угроз для собственной системы.
У вас в аттестате указано, что запрещается вносить изменения...
В аттестате указано про запрет внесения несанкционированных изменений. Приведенный вами кейс к таким не относится — в этом случае мы будем действовать в соответствии с нашими внутренними процессами и требованиями 77-го приказа ФСТЭК.
... залить сервер с ИСПДн и обрабатывать ПДН на готовое из коробки решение не получится.
Верно, мы берем на себя вопросы физической безопасности и работы инфраструктуры. Клиенту же необходимо будет обеспечить безопасность сети, программного обеспечения и данных. Вместе с тем клиент может передать нам систему защиты на администрирование и сократить свои затраты в этом вопросе.
В аттестате указано про запрет внесения несанкционированных изменений.
Все верно, любые изменения должны согласовываться с тем, кто выдал аттестат, НО! ФСБ не проверяют правила фаерволла, и ФСТЭК этого тоже не делают. Поэтому тут можете быть спокойны, я просто вам указал на узкое место. Не важно, что считаете вы - важно то, что считает проверяющий, а они изменения маршрутов будут считать изменениями в программно-аппаратных комплексах и мол заново аттестационные испытания.
Поэтому, я бы рекомендовал продумать этот момент, но с учетом того, что перепроверить они не смогут.
Верно, мы берем на себя вопросы физической безопасности и работы инфраструктуры. Клиенту же необходимо будет обеспечить безопасность сети, программного обеспечения и данных. Вместе с тем клиент может передать нам систему защиты на администрирование и сократить свои затраты в этом вопросе.
В моём ответе видно критику и она наверное выглядит жесткой, но это от того, что вы не пояснили это сами! После изменений в 152 ФЗ многим придется не просто вникать в него, но и аттестовывать информационные системы.
На самом деле, у вас можно реализовать решения под ключ, готовые из коробки, хотя это сложно, но это хорошие деньги и тут конкуренции пока нет.
В настоящий момент мы не предоставляем нашим клиентам СКЗИ, сертифицированные ФСБ России.
Я бы порекомендовал рассмотреть ViPNet, так как множество защищенных сетей рано или поздно хотят межсетевое взаимодействие с кем-то, а эта тема примерно на 90% из СКЗИ ViPNet. Крупнейшие банки используют именно его для межсетевого взаимодействия.
на этаже и перед дверью в северное помещение
@Doctor_IT исправьте на "серверное"
Это не тот ЦОД, к которому вы привыкли. Чем аттестованный сегмент отличается от классического?