× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

Требования к информационной безопасности

06 окт 2016 07:10 - 06 окт 2016 09:21 #2729 от chusic
Доброго дня уважаемые форумчане! Хотелось бы открыть тему по поводу документа размещенному на офф. сайте: "Требование к информационной безопасности
автоматизированного рабочего места пользователя системы "Электронный бюджет"".
Хотелось бы спросить кто строго придерживался этого документа, как на него реагировать?
Если, его стоит строго придерживаться, тогда развить данную тему по вопросам, возникающим при настройке информационной безопасности.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 дек 2016 04:35 - 20 дек 2016 13:10 #3626 от jerry_maori
Ну в принципе в документе ничего особо сложного нет.
В отделениях УФК всяко есть отдел ИБ, которые все необходимые мероприятия проводит.

А если для простых смертных (ежели прям полноценного ИБ нет, а на кого-то "возложили обязанности"), то:
1. АРМ, с которых идёт работа, завести в домен (сразу получаем централизованное управления правами учётных записей, политики паролей и т.д.)
2. Развернуть на них Kaspekskiy Endpoint Security с управлением через Kasperskiy Security Center (антивирус, веб-фильтр и т.д.)
3. У учётных записей сотрудников права на уровне обычных пользователей
4. Инструктаж про правила обращения с ключами подписей.

Наверное всё.
Понятно, что любая проверка сделает многие замечания. Но по факту (а не по документам) вполне приемлемый уровень этой самой ИБ мы получаем.

P.S. -- на самом деле тема интересная. Причём, наверное, не столько сами УФК, сколько клиентам (как вы нас называете ;) ) УФК.

Системный администратор ФБУН
in kiwi we trust

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

06 фев 2017 12:46 - 06 фев 2017 13:45 #4683 от v.rnd
А как же целая простыня рекомендаций от Минфина по ИБ, в частности:
- НСД не ниже 6 класса защищенности для СВТ, такие как "Secret Net", "Соболь", "Панцирь-С" и т.п
- средства межсетевого экранирования не ниже 4 класса защищенности
- средства обнаружения вторжений не ниже 5 класса защищенности
Указан класс защищённости, значит сертифицированные ФСТЭКом - значит извольте приобрести какую-нибудь проприетарщину.
Искал информацию, звонил в поддержку - ничего конкретного о готовых решениях, хотя бы в качестве примера, не нашёл.
Спрашивал в своём территориальном отделе казначейства, сказали что у них Соболь, насчёт остального не ведают.
Эти клоуны в Минфине прикрыли свой зад заведомо не реализуемой на практике инструкцией, а я как администратор буду крайним.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

07 фев 2017 03:44 #4689 от jerry_maori
есть мнение, что звонить надо не в суппорт, а вендорам...
Например, я уверен, что бодрые парни из SecurityCode (не реклама, ну просто надо кого-то в пример) -- они вам "под ключ" хоть что забабахают... За сотни тысяч нефти, естественно.
По ФСТЭК -- KES сертифицирован, Windows 2008R2 - сертифицирован, файрвол -- ну тут выбор широк.

Системный администратор ФБУН
in kiwi we trust
Спасибо сказали: v.rnd

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.