Гост ро 0043-003-2012

На нашем сайте вы можете загрузить «Гост ро 0043-003-2012» в PRC EPUB, isilo, RTF, PDF, LRF, FB2, TCR, TXT, AZW3, CHM, JAR, DOC, МОВІ, DJVU, LIT, HTML!

IMVU: Group: Гост ро скач

Сегодня мы будем препарировать очередной закрытый ГОСТ, раскрывающий самую сакральную процедуру в мире отечественной информационной безопасности — аттестацию. Аттестовать такие системы могут по старой классификации 1В, 1Г, 2А Аттестация обязательна для государственных организаций и желательна для коммерческих; еще аттестуют копиры и системы аудио видео трансляции, но это редкость. Все это вместе называют объектами информатизации ОИ и ГОСТ рассказывает про процедуру аттестации применительно к каждому из них.

Поэтому стандарт рассчитан в большей степени на лицензиатов Начинается стандарт с того, что дает простое и понятное объяснение того, чем же все-таки отличаются автоматизированные системы от информационных: Далее документ устанавливает требования к программе и методикам проведения аттестационных испытаний. Введение жестких требований к составу и содержанию аттестационных испытаний поможет выявить тех халявщиков, которые любят устраивать из аттестации профанацию.

Главное только вовремя остановиться и не перегнуть палку В документе присутствует так же замечательный кроссворд! По счастливой случайности большую часть полей можно заполнить продукцией одной фирмыкоторая по невероятному совпадению является одним из авторов стандарта.

Блог Артема Агеева: ДСПшный ГОСТ по аттестации объектов информатизации

Остановимся теперь подробней на методике аттестации автоматизированных систем. Нельзя не похвалить разработчиков за детальное описание всей процедуры аттестации, которое раньше передавалось из уст в уста от преподавателя к инженеру, от инженера к технику, а теперь же высечено в камне.

Однако у меня вызвали целую бурю эмоций следующие абзацы в документе: Стандарт по информационной безопасности года учит проверять механизмы защиты операционной системы с помощью Отдельные проверки не могут не порадовать простотой и доступностью, достойной персонажей из анекдотов про ПТУ.

Проверки совсем не учитывают уязвимости программного обеспечения: Проверяется только наличие антивируса и актуальность вирусных баз. Сама проверка на вирусы не предусмотрена. Вообщем в новый документ перекочевали все те нормы, которые сегодня заслуженно считаются атавизмами ИБ — ПЭМИН, мандатный доступ, бумажные журналы учета, запрет обновлений ПО и так далее. Почитав новый ГОСТ, молодое поколение специалистов по ИБ может достаточно четко представить себе как защищали информацию в 90х годах прошлого тысячелетия.

The Soapbox

К сожалению, закрытый характер стандарта не позволит большей части организаций проконтролировать работы лицензиата по аттестации, что во многом лишает стандарт смысла.

Отсутствие прозрачности в процедуре аттестации лишает её рыночной привлекательности и делает уделом госзакупок. ФСТЭК самоустраняется от защиты информации в коммерческом секторе экономики страны и навязывает всем игрокам методы защиты информации, которые работают в своем изолированном от реальных потребностей бизнеса мире. Целая индустрия разработчиков клепает СЗИ, о которых кроме того, что они сертифицированы, больше сказать то и нечего.

Целое поколение интеграторов смело выдает аттестат о соответствии требованиям по «информационной безопасности» на кишащую вирусами информационную систему.

Документы по защите информации должны быть максимально открытыми и доступными, а требования и методики должны обсуждаться с профессиональным сообществом, чтобы все «дискеты с MS DOS» вычищались из них еще на этапе зародыша.

Close Menu