Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

п.33 2-й абзац 77 приказа ФСТЭК - если под него попадаете, то да - переаттестация.
Вы аттестуйте ЦОД отдельно, а потом ГИСы отдельно. Так меньше хлопот - но не точно!

Добрый день! Подскажите, пожалуйста, правильно ли я понимаю, что аттестация сегмента ГИС проходит по 77 приказу, и Модель угроз с ТЗ на этот сегмент согласуются с ФСТЭК?

To Павел

Правильно лучше понимать так:
Аттестация ГИС проводится на соответствие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17, и в порядке, утвержденным приказом ФСТЭК России от 29 апреля 2021 года № 77.
В отношении сегмента ГИС могут проводиться только аттестационные испытания. Условия данных испытаний определены пунктом 17.3 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17.
Согласование модели УБИ ГИС и технического задания на создание ГИС с ФСТЭК России предусмотрено пунктом 3 постановления Правительства РФ от 6 июля 2015 года № 676.
Формально обязанности у ФСТЭК России по согласованию Модели УБИ сегмента ГИС и технического задания на создание сегмента ГИС нет. Поэтому, скорее всего, документы вернут без рассмотрения.

СМ, спасибо!

Здравствуйте. Подскажите, хотим аттестовать ИС (Сервера и 2 АРМ) как ГИС, типовой сегмент. В какие сроки на все остальные рабочие места нужно распространить аттестат? Это как-то регулировано?

to Татьяна:

Регулировано пунктом 17.3 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17. Плюс в конце этого пунка есть отсылка на аттестационные документы (Программа и методика АИ, заключение и аттестат соответствия), которые также должны отражать особенности аттестации ГИС на основе результатов АИ выделенного набора сегментов.

СМ, т.е. в программе и методике АИ должен быть прописан срок? А если не прописать?
Есть ГИС, в которой часть АРМ аттестовано, часть нет. Чем это грозит? Просто говорить регуляторам, что идет процесс распространения аттестата? Как это долго может длиться?

to Татьяна:

Понятие "процесс распространения аттестата" не корректно. Аттестат соответствия выдается на всю ГИС и действует на весь срок эксплуатации этой ГИС (см. пункт 17.4 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17). Т.е. срок действия аттестата один и начало его действия указано в самом аттестате. У вводимых после аттестации сегментов ГИС есть только срок - это срок проведения приемочных испытаний, где подтверждается их соответствие ранее аттестованным сегментам. Сроки таких видов испытаний, как правило, определяются локальными нормативными актами (приказы, распоряжения) вместе с назначением комиссий проведения испытаний.
Если регулятор запросил у Вас какие-то документы по сегментам ГИС, планируемых к вводу после АИ, то можете указать точную формулировку запроса?

СМ, аттестация только планируется. Регулятор ничего не запрашивал.
Т.е. я как владелец ГИС выставляю требования для подключения к ГИС и сроки, в какие эти требования должны быть выполнены. У меня вопрос в том, будут ли у регулятора вопросы к тому, что в аттестованной ИС работают люди на ПК, не соответствующие требованиям.

to Татьяна:

Если аттестация только планируется, а в ГИС была разрешена обработка информации ограниченного доступа, то по этому поводу со стороны регуляторов должны быть "неприятные" вопросы, т.к. в этом случае будет нарушение требований части 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ и раздела III Требований, утвержденных постановлением Правительства РФ от 06.07.2015 № 676.

Вы, как владелец ГИС, должны сначала определить "границы" ГИС (обособить ее от других ГИС) и сформировать требования к защите информации (акт классификации, модель угроз, техническое задание), включая определение сегментного состава и порядка их ввода в действие. Потом разработать техническую документацию (тех проект, рабочая документация), включая Тех паспорт, где целесообразно отразить все сегменты которые будут входить в ГИС. Затем провести внедрение средств защиты и провести испытания (предварительные, опытную эксплуатацию, приемочные) сегментов ГИС, реализующих полную технологию обработки информации. Только после этого выходить на аттестацию ГИС и аттестационные испытания данного набота сегментов ГИС.
В случае положительных результатов аттестационных испытаний сегментов ГИС, реализующих полную технологию обработки информации, на всю ГИС выдается аттестат соответствия. Аттестационные испытания этих сегментов ГИС и выдачу аттестата соответствия может проводить только лицензиат ФСТЭКа. Наличие аттестата соответствие ГИС дает основание для ввода их в действие (эксплуатацию) аттестованных сегментов, т.е. право обрабатывать в них информацию ограниченного доступа. Как правило, для этого оформляют комиссионный Акт ввода в действие и издается приказ (распоряжение).
"Новые" сегменты ГИС вводятся Вами самостоятельно после проведения приемочных испытаний. Где, кроме проверки выполнения требований Тех задания, (!) дополнительно оценивается их соответствие сегменту, в отношении которого были проведены аттестационные испытания (критерии такой оценки соответствия см. пункт 17.4 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17). В технической и приемочной документации "новые" сегменты должны быть отражены, как часть ГИСа. Иначе как определить, что это сегмент аттестованной ГИС, а не какая-то отдельная ГИС?!
Сроки проведения приемки "новых" сегментов аттестованной ГИС определяете самостоятельно. Как правило, зависит от их готовности к испытаниям. Приемочные испытания с оценкой соответствия вновь вводимого сегмента аттестованному проводит Ваша комиссия. Привлекать лицензиата не обязательно (это не аттестационные испытания, а приемочные).
Разрешать обрабатывать информацию ограниченного доступа во вновь вводимых сегментах можно только после положительных результатов приемки с подтверждением их соответствия аттестованному сегменту.
У регулятора, скорее всего, возникнут вопросы, если в "новых" сегментах была разрешена обработка информации без наличия оснований, т.е. положительных результатов приемки с оценкой соответствия.