4erepah

В связи с информационным сообщением ФСТЭК России «О применении сертифицированной по требованиям безопасности информации операционной системы windows xp в условиях прекращения ее поддержки разработчиком» от 7 апреля 2014 г. N 240/24/1208.

У меня есть для вас что сказать, не углубляясь в описание подводной части айсберга. Итак, представьте себя на месте архитектора информационной системы. Ну скажем это некая локальная сеть предприятия или отдела с набором АРМ, системного и прикладного ПО и т.п. И вам нужно выполнить требования по защите информации так, чтобы использовались сертифицированные средства защиты информации.

И вот вы подошли к выбору операционной системы для АРМ. Очевидно вам нужна windows (мы пока про winXP) ;)… И тут перед вами встает вопрос о выполнении требований по защите для этого АРМ. Предположим, вы сформировали 25 технических мер которые должны закрываться сертифицированными СрЗИ.

Где то вы слышали, что оказывается windows ХР сертифицирована и может применяться! Замечательно! Вы берете документацию на сертифицированную windows ХР, смотрите какие техмеры она закрывает и оказывается, что из ваших 25 она закрывает 5! И это касается всех продуктов Microsoft… чЁрт… я вместе с вами пошел нервно покурить…

Пока курили пришла мысль: нужно применение дополнительных сертифицированных средств чтобы закрыть остальные 20 техмер. Осталось их выбрать. Выбираем еще 2 сертифицированных СрЗИ и оказывается, что эти два средства выполняют не только 20 оставшихся а вообще все 25 и даже больше чем нужно!

Теперь мы чешем репу и задаемся вопросом: а накой мне сертифицированная windows? Оказывается что и не надо!

Ну вот СЗИ построили, систему можно аттестовать. Прописываем в документацию что так мол и так, администратор информационной системы должен отслеживать новые уязвимости используемого в системе ПО и принимать адекватные меры…

Реклама