[N9oph]

Отправили в очередной раз РП на экспертизу в ФГУ Центр МИР ИТ и вот одно из замечаний "В проекте необходимо рассмотреть вопросы по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации в соответствие с требованиями Приказа Мининформсвязи России №l от 09.01.2008. Дополнить проект".

В приказе написано вот как:

Для защиты узлов связи... от доступа со стороны физических лиц, не имеющих на это права, операторы связи обеспечивают:

а) оснащение сооружений связи, в которых размещаются узлы связи, техническими средствами защиты, включая охранную сигнализацию;

б) наличие ограждений, исключающих случайный проход физических лиц и въезд транспорта на охраняемую территорию для узлов связи I и II категории защищенности;

и т.д.

Насколько правомерно требовать от проекта соответствие приказу Мининформсвязи...?

 

[Проектировщик]

Абсолютно правомерно. Соответствует ст. 7 и ст. 46 п. 1 абз. 2 ФЗ "О связи".

Приказ N 1 является НПА федерального органа исполнительной власти в области связи и зарегистрирован в Минюсте.

[N9oph]

Абсолютно правомерно. Соответствует ст. 7 и ст. 46 п. 1 абз. 2 ФЗ "О связи".

Приказ N 1 является НПА федерального органа исполнительной власти в области связи и зарегистрирован в Минюсте.

В 5-ом пункте данного приказа сказано, что по подпункту "а" - все сооружения связи должны иметь охранную сигнализацию;

по подпункту "е" - "наличие запирающих устройств для помещений, в которых размещены узлы связи III категории защищенности".

 

Получается, что узлы связи III категории защищенности могут не иметь сигнализации?

Если сигнализацию должны иметь все узлы связи, то получается, что и сигнализация должна иметь декларацию о соответствии на применение в сетях связи (если даже на ИБП требуют)?

Просто у Заказчика проектируемые узлы располагаются в подъездах жилых домов в антивандальных шкафах. Не проектировать же в каждом ящике дополнительно установку датчиков и проч. или все-таки надо...?

[roling]

Мы в почти аналогичном случае отделались в проекте следующем:

 

"В сети предусматривается комплекс организационно-технических мероприятий по защите передаваемой информации от несанкционированного доступа:

 ограничение доступа в помещение узла сети телематических служб;

ограничение доступа к оборудованию домовых узлов сети путем использования металлических защищенных телекоммуникационных шкафов в антивандальном исполнении;

сдача объектов (узлов связи) под охрану подразделению ЧОП или вневедомственной охраны;

 проведение круглосуточного мониторинга целостности сети;

 автоматизированное протоколирование действий технического персонала при попытке несанкционированного доступа к базам данных;

 двухуровневая система паролей доступа и периодическая смена паролей;

 анализ попыток несанкционированного вмешательства в работу узла сети;

 принятие адекватных мер по обнаружению источников угрозы.

В оборудовании и программном обеспечении предусмотрены в целом стандартные меры по защите от несанкционированного доступа к информации и системе управления. Дополнительных программно-аппаратных решений и применение спецсредств закрытия информации не предусматривается.

В аппаратно-программном комплексе предусматривается система защиты программных и аппаратных средств несанкционированного доступа типа Proxy-сервер и Firewall с целью уменьшения количества IP-адресов, доступных из сети ИНТЕРНЕТ."

 

[Связной (С)]

сигнализация должна иметь декларацию о соответствии на применение в сетях связи

Не должна. См. ЗоС, ПП РФ № 896 Об утверждении перечня средств связи, подлежащих обязательной сертификации. Но должна другой.

 

[N9oph]

Спасибо roling'у.

Что касается вообще темы, то привычка приравнивать Министерством крупные конторы к небольшим и наоборот не доводит до добра в итоге...

Очевидно, что охранять необходимо и проч., но не простенькие домовые узлы, а, допустим, крупные центры небольших сетей или все узлы тех же самых сотовых операторов.

 

[roling]

Очевидно, что охранять необходимо и проч., но не простенькие домовые узлы, а, допустим, крупные центры небольших сетей или все узлы тех же самых сотовых операторов.

Охранять надо все, иначе сопрут. Иное дело что степень охраны должна быть адекватной спираемому. В одном случае злобной сосоедки хватит, которая слыша что ящик ломают или по крыше шляются в органы трезвонит, в другом случае надо все колючей проволокой обнести, забором закрыть и на танке ездить :)

 

Что касается вышенаписанного мной, то оно понятное дело требует творческой правки применительно к вашим условиям, но общее направление мысли я думаю понятно.

 

[Andrei]

привычка приравнивать Министерством крупные конторы к небольшим и наоборот не доводит до добра в итоге...

А знаете почему приравнивают? Да просто потому, что они не заинтересованы в появлении и развитии "мелочевки".

[j_box]

А знаете почему приравнивают? Да просто потому, что они не заинтересованы в появлении и развитии "мелочевки".

Неправда Ваша. Крупные и мелкие, соперничая в одной и той же нише, должны легко уживаться (ИМХО).

Козырь крупных - промышленные масштабы внедрения услуги. Без обкатки такой услуги в "полевых условиях" т.е. без внедрения небольшими фирмами услуги и успешной эксплуатации ее какое-то определенное время. внедрять в промышленных масштабах новое - неоправданный риск.

 

Поэтому, небольшим фирмам быть и процветать, будучи на острие технологий. Крупным - перенимать опыт, и внедрять новое с заметной задержкой.

Клиенты мелких - самые активные юзеры. Клиенты крупных - самые консервативные или самые среднестатистические.

 

Стоит мелкому вырасти более определенного размера и работающие без осечек схемы (под единоначалом гендира), начинают давать сбой. Мелкий вынужден дробить управление, он теряет мобильность. Он превращается в крупного и менее подвижного, вынужденного тратить энергию на пресечение воровства, на обучение топов рулить сегментами сети и далеко не факт. что все топы будут четко следовать инструкциям гендира. Скорее всего они попробуют получить полную самостоятельность и чтобы удержать эту, разбегающуюся в разные стороны упряжку, нужно снижать эффективность, обрезая полномочия на местах. Например полностью лишая возможности независимо от центра распоряжаться финансами.

 

Вот поэтому и приравнивают. Защищенность сети - параметр, который должен оставаться неизменным, и у мелкого, и у крупного.

[Andrei]

Неправда Ваша. Крупные и мелкие, соперничая в одной и той же нише, должны легко уживаться (ИМХО).

Вы рассуждаете как нормальный разумный бизнесмен, за что вам респект. :) Но министерские - у них подход другой. Принимаемая отраслевая нормативка тому подтверждение.

 

[N9oph]

Охранять надо все, иначе сопрут. Иное дело что степень охраны должна быть адекватной спираемому. В одном случае злобной сосоедки хватит, которая слыша что ящик ломают или по крыше шляются в органы трезвонит, в другом случае надо все колючей проволокой обнести, забором закрыть и на танке ездить :)

 

Что касается вышенаписанного мной, то оно понятное дело требует творческой правки применительно к вашим условиям, но общее направление мысли я думаю понятно.

Естественно, что написанное требует правки, но за направление мыслей - спасибо еще раз. )))

 

[j_box]

Вы рассуждаете как нормальный разумный бизнесмен, за что вам респект. :) Но министерские - у них подход другой. Принимаемая отраслевая нормативка тому подтверждение.

Министерская нормативка разрабатывается ИМХО, не министрами, а целыми батальонами узкоспециализированных спецов. При этом все пытаются учесть кучу всевозможных интересов сильных мира сего, политические моменты, экономические... Я варился в каше многоуровнесогласовательных процессов. Я знаю, какой процент от первоначальной идеи остается в окончательном документе. Попробуйте написать сами документ, который бы устроил всех и вся. Точнее был бы лоялен к интересам вышестоящих и позволял бы решить проблему. :(

[Andrei]

Попробуйте написать сами документ

Я и не говорю, что это легко. А то, что изначально заложенные прогрессивные идеи в процессе согласования выхолащиваются, лишь подтверждает мой тезис.