Форум для людей связанных с ЕГАИС

  • Декабря 07, 2019, 04:10:10 am
  • Добро пожаловать, Гость
Пожалуйста, войдите или зарегистрируйтесь.

Расширенный поиск  

Новости:

Автор Тема: Приказ 151 от 21.05.2014  (Прочитано 31509 раз)

Vladimir

  • Гуру
  • *****
  • Сообщений: 802
    • Просмотр профиля
    • E-mail
Re: Приказ 151 от 21.05.2014
« Ответ #165 : Апреля 21, 2015, 01:44:35 pm »

Ну переучиваться по-любому придется, из-за ТУ. Но протянуть по времени можно наверно, ближе к следующей сертификации, только чтоб 1-2 все-таки были в наличии с действующими аттестатами, на всякий случай. А там кто-то уйдет, кто-то прийдет к следующему марту.
Записан

req

  • Гуру
  • *****
  • Сообщений: 861
    • ICQ клиент - 406406260
    • Просмотр профиля
    • E-mail
Re: Приказ 151 от 21.05.2014
« Ответ #166 : Апреля 21, 2015, 01:49:15 pm »

спасибо за ответ. я вот так же думаю... обучаться ближе к сертификации. Пока что, кроме сертификации, подводных камней не вижу.
Записан

Олеся1504

  • Опытный
  • **
  • Сообщений: 57
    • Просмотр профиля
Re: Приказ 151 от 21.05.2014
« Ответ #167 : Апреля 27, 2015, 03:54:08 pm »

У нас установили ключи в usb......проблема между ключом печати(( кто, как выходил из этого тупика???
Записан

Cherrydragon

  • Бывалый
  • ***
  • Сообщений: 188
    • Просмотр профиля
    • E-mail
Re: Приказ 151 от 21.05.2014
« Ответ #168 : Апреля 29, 2015, 01:37:27 pm »

Если проблема с нетворклогоном, то просто удаляем все это дело, получаем ключи принтера и по новой обратно ставим.
Записан

Олеся1504

  • Опытный
  • **
  • Сообщений: 57
    • Просмотр профиля
Re: Приказ 151 от 21.05.2014
« Ответ #169 : Апреля 29, 2015, 02:27:34 pm »

Проблема в том, когда заходим в защиту печати (нажимаем загрузить)....то ключ подцепляется только тот, что на вход в систему....т.е. нет выбора какой ключ использовать в момент печати..
Записан

Cherrydragon

  • Бывалый
  • ***
  • Сообщений: 188
    • Просмотр профиля
    • E-mail
Re: Приказ 151 от 21.05.2014
« Ответ #170 : Апреля 29, 2015, 02:45:44 pm »

Ну что в голову приходит первым? USB-ключи етокен очень желательно разные для принтера и логона?
Во вторых видны ли обе записи через етокен-properties? Не токена (если их больше одного) а записи ключей.
Если не ошибаюсь, то для принтера нормальная запись, а для логона осиротевшая.
Записан

Сумрак

  • Бывалый
  • ***
  • Сообщений: 184
    • Просмотр профиля
    • E-mail
Re: Приказ 151 от 21.05.2014
« Ответ #171 : Мая 19, 2015, 12:49:44 pm »

По поводу ответа Антона Валерьевича тремя страницами ранее... Дело в том что в 151-ом несколько "подкорректировали" п.11-ый 17-го приказа ФСТЭК. Правильнее это называется должностной подлог, потому явно никто об этом и не напишет. Ибо страшно это в нынешние времена :)
Сам приказ можно посмотреть в инете. Он открытый. А есть еще хорошее раззьяснительное письмо начальника второго управления Лютикова о том как его правильно читать... И то (а это самое важное), что на ГИСы распространяется СТР-К, а значит они подлежать аттестации.
Я тоже указывал РАРу что они неверно читают 11-ый пункт 17-го приказа. Они это признали и написали в ответе что будут готовить изменения в техрегламент исключающие избыточные требования. Но, думаю, это нескоро еще случится…
ЕГАИС зарегистрирован в роскомнадзоре как ГИС (http://rkn.gov.ru/it/register/?id=101665), а значит требования 17-го приказа на него действительно распространяются, только в РАРе нет, как я понял из разговора с ними, спецов по информационной безопасности и потому они не знают как правильно что и как делать с этим…
Ну это была преамбула. Что из основного….
РАР требует сертификации всего ПО Microsoft. Смотрим табличку в техрегламенте и сверяем с тем что сертифицируется от Microsoft (http://www.microsoft.com/rus/government/certificate/)
Серверная операционка – от Microsoft Windows Server 2003 Standard Edition R2 и выше. Ну, тут ладно. Они сертифицировались. Менять не нужно. Если это конечно не видоизмененная операционка под конкретную серверную платформу (лицензия ROC). Тот же HP очень любит поставлять такие и нам, это конечно, удобнее. В дистриб зашиты сразу все нужные дрова, дрова рейд-контроллера и пр… Но такой вариант уже не пройдет. Дистриб не верифицируется…
MS SQL 2005 – сертифицирован ФСТЭК только корпоративный вариант (OpenLicence) и только русская версия. Народ покупал в основном коробочную английскую. Т.е. надо менять. Это в районе 50 тыс.
Самый прикол – MSOffice Какая связь с защитой информации вообще не ясно, но, типа требуется… По табличке - от Microsoft Office 2000 и выше. Народ и закупил в основном коробочную версию «Для дома и бизнеса», а не тут то было. Сертифируется ФСТЭК только корпоративная RPO PLUS. Вместо 7-8 тыс, имеем уже 24 тыс. на одно рабочее место.
Операционка на рабочих местах – тоже только OpenLicence и никакой предустановки. В основном обычно компы для рабочих мест закупаются уже с наклейкой на корпусе и с предустановленной системой (лицензия OEM). Не проходит…
В общем по этому вопросу получается для подготовки комплекса ЕГАИС к сертификации по новым требованиям – нужно вложить в замену ПО (легально купленного с лицензиями и работоспособного) порядка 150-200 тыс разово и отдать Альтэкс-софту за проверку его порядка 20-30 тыс. И эта мзда будет каждый год. Альтэкс-Софт там аж пищит от удовольствия - им бабло валится в виде водопада от ЕГАИСовцев. Про подозрение что и появилось это требование неспроста, думаю, промолчим...
Какой выход… По закону, оказывается, можно не сертифицировать ПО, а использовать сверху сертифицированные СЗИ на каждый возможный канал утечки данных. Все эти каналы для каждого класса защищенности ГИСа расписаны в приложении к 17-му приказу. Есть прям табличка как таблица умножения. По горизонтали – угрозы, по вертикали СЗИ. Так вот того перечня СЗИ что предписаны для комплекса ЕГАИС достаточно полностью для того чтобы не использовать встроенные механизмы защиты системного и общесистемного ПО. Т.е. сертификация продуктом мелкософта не требуется, так как механизмы защиты информации самого ПО не используются. Проверить это могут только представители фирмы имеющей лицензию ФСТЭК. Их сейчас дофига. Называется этот процесс Аттестацией по требованиям безопасности информации. Процедура тоже не дешевая, но Аттестат выдается на 3 года (если ничего в структуре комплекса не меняется). Если без ПЭМИН получается гарантированно дешевле чем менять всё мелкософтовское ПО. У меня несколько фирм уже проходили сертификацию комплекса прикладывая Аттестат на комплекс, а не отдельные сертификаты на ПО. Естественно прошли, ибо в данном случае уже вопросы информационной безопасности НИЦ не рассматривает, а за правильность использования и корректность в настройке несет ответственность фирма - лицензиат ФСТЭК.
Записан

Cherrydragon

  • Бывалый
  • ***
  • Сообщений: 188
    • Просмотр профиля
    • E-mail
Re: Приказ 151 от 21.05.2014
« Ответ #172 : Октября 16, 2019, 01:27:11 pm »

А курсы подготовки по эксплуатации программных средств ЕГАИС актуальной версии сейчас уже не надо ежегодно проходить?
Записан

эгоист)))

  • Гуру
  • *****
  • Сообщений: 713
    • Просмотр профиля
Re: Приказ 151 от 21.05.2014
« Ответ #173 : Октября 17, 2019, 09:56:47 am »

А курсы подготовки по эксплуатации программных средств ЕГАИС актуальной версии сейчас уже не надо ежегодно проходить?
Никакие официальные документы нас не обязывают это делать. Но на офсайте РАР сказано, что курсы проходить нужно. А Гущанский говорил что вся информация на сайте является официальной.
Записан

itlvz

  • Гуру
  • *****
  • Сообщений: 846
    • Просмотр профиля
Re: Приказ 151 от 21.05.2014
« Ответ #174 : Октября 17, 2019, 09:17:30 pm »

А курсы подготовки по эксплуатации программных средств ЕГАИС актуальной версии сейчас уже не надо ежегодно проходить?
Никакие официальные документы нас не обязывают это делать. Но на офсайте РАР сказано, что курсы проходить нужно. А Гущанский говорил что вся информация на сайте является официальной.

нее,... вся информация на сайте основана на нормативных источниках! ;D
Записан
 

Яндекс.Метрика