По поводу ответа Антона Валерьевича тремя страницами ранее... Дело в том что в 151-ом несколько "подкорректировали" п.11-ый 17-го приказа ФСТЭК. Правильнее это называется должностной подлог, потому явно никто об этом и не напишет. Ибо страшно это в нынешние времена
Сам приказ можно посмотреть в инете. Он открытый. А есть еще хорошее раззьяснительное письмо начальника второго управления Лютикова о том как его правильно читать... И то (а это самое важное), что на ГИСы распространяется СТР-К, а значит они подлежать аттестации.
Я тоже указывал РАРу что они неверно читают 11-ый пункт 17-го приказа. Они это признали и написали в ответе что будут готовить изменения в техрегламент исключающие избыточные требования. Но, думаю, это нескоро еще случится…
ЕГАИС зарегистрирован в роскомнадзоре как ГИС (
http://rkn.gov.ru/it/register/?id=101665), а значит требования 17-го приказа на него действительно распространяются, только в РАРе нет, как я понял из разговора с ними, спецов по информационной безопасности и потому они не знают как правильно что и как делать с этим…
Ну это была преамбула. Что из основного….
РАР требует сертификации всего ПО Microsoft. Смотрим табличку в техрегламенте и сверяем с тем что сертифицируется от Microsoft (
http://www.microsoft.com/rus/government/certificate/)
Серверная операционка – от Microsoft Windows Server 2003 Standard Edition R2 и выше. Ну, тут ладно. Они сертифицировались. Менять не нужно. Если это конечно не видоизмененная операционка под конкретную серверную платформу (лицензия ROC). Тот же HP очень любит поставлять такие и нам, это конечно, удобнее. В дистриб зашиты сразу все нужные дрова, дрова рейд-контроллера и пр… Но такой вариант уже не пройдет. Дистриб не верифицируется…
MS SQL 2005 – сертифицирован ФСТЭК только корпоративный вариант (OpenLicence) и только русская версия. Народ покупал в основном коробочную английскую. Т.е. надо менять. Это в районе 50 тыс.
Самый прикол – MSOffice Какая связь с защитой информации вообще не ясно, но, типа требуется… По табличке - от Microsoft Office 2000 и выше. Народ и закупил в основном коробочную версию «Для дома и бизнеса», а не тут то было. Сертифируется ФСТЭК только корпоративная RPO PLUS. Вместо 7-8 тыс, имеем уже 24 тыс. на одно рабочее место.
Операционка на рабочих местах – тоже только OpenLicence и никакой предустановки. В основном обычно компы для рабочих мест закупаются уже с наклейкой на корпусе и с предустановленной системой (лицензия OEM). Не проходит…
В общем по этому вопросу получается для подготовки комплекса ЕГАИС к сертификации по новым требованиям – нужно вложить в замену ПО (легально купленного с лицензиями и работоспособного) порядка 150-200 тыс разово и отдать Альтэкс-софту за проверку его порядка 20-30 тыс. И эта мзда будет каждый год. Альтэкс-Софт там аж пищит от удовольствия - им бабло валится в виде водопада от ЕГАИСовцев. Про подозрение что и появилось это требование неспроста, думаю, промолчим...
Какой выход… По закону, оказывается, можно не сертифицировать ПО, а использовать сверху сертифицированные СЗИ на каждый возможный канал утечки данных. Все эти каналы для каждого класса защищенности ГИСа расписаны в приложении к 17-му приказу. Есть прям табличка как таблица умножения. По горизонтали – угрозы, по вертикали СЗИ. Так вот того перечня СЗИ что предписаны для комплекса ЕГАИС достаточно полностью для того чтобы не использовать встроенные механизмы защиты системного и общесистемного ПО. Т.е. сертификация продуктом мелкософта не требуется, так как механизмы защиты информации самого ПО не используются. Проверить это могут только представители фирмы имеющей лицензию ФСТЭК. Их сейчас дофига. Называется этот процесс Аттестацией по требованиям безопасности информации. Процедура тоже не дешевая, но Аттестат выдается на 3 года (если ничего в структуре комплекса не меняется). Если без ПЭМИН получается гарантированно дешевле чем менять всё мелкософтовское ПО. У меня несколько фирм уже проходили сертификацию комплекса прикладывая Аттестат на комплекс, а не отдельные сертификаты на ПО. Естественно прошли, ибо в данном случае уже вопросы информационной безопасности НИЦ не рассматривает, а за правильность использования и корректность в настройке несет ответственность фирма - лицензиат ФСТЭК.
