Аттестация ИСПДн - Форум по вопросам информационной безопасности
Аттестация ИСПДн - Форум по вопросам информационной безопасности
| Автор: WORM, MK | 105593 | 18.01.2019 13:33 |
|
Евгений, а что вы понимаете под К3??
|
|
| Автор: Евгений | 105617 | 22.01.2019 14:27 |
|
WORM, класс защищенности информационной системы, у нас К3. Надо ли проводить аттестацию для этой ИСПДн
|
|
| Автор: oko | 105618 | 22.01.2019 15:41 |
|
to Евгений
Возможно, ошиблись (или для общего словца), но для корректности ситуации: классы ИСПДн отменили уже давненько. Теперь это "Уровни защищенности", которые считаются несколько иначе. Аттестация ИСПДн - дело сугубо добровольное. Хоть для У4, хоть для У1. Другое дело, часто это требование прописывают ведомства, под которыми "ходят" организации-владельцы ИСПДн. Да и подтверждение защищенности ИСПДн в форме аттестации, зачастую, предлагают все организации-лицензиаты (и у регулятора потом вопросов меньше). Хотя организация-владелец ИСПДн имеет право и самостоятельно подтвердить ее защищенность - при наличии возможностей, разумеется. Так что думайте в свете вышесказанного, по какому пути будете идти... |
|
Прошло около недели
| Автор: Даниил, Комитет | 105653 | 30.01.2019 08:37 |
|
Доброго времени суток, господа! Я новичок в ИБ. Можете мне подсказать зачем вообще аттестовать рабочие места ИСПДн и что это дает в конечном счете (класс защищенности К3 по пойму у нас)
|
|
| Автор: oko | 105656 | 30.01.2019 12:44 |
|
to Даниил
Дает подтверждение того, что ИСПДн выполняет все требования безопасности, определенные законодательством (регуляторами) для ее уровня защищенности (забудьте вы уже про классы, ага). Причем в случае с аттестацией - подтверждение не самоличное, а заверенное некоей "доверенной" организацией... Приказ 21 ФСТЭК России по части защиты ИСПДн, "Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года." ФСТЭК писали, что понимают под этой "оценкой эффективности" именно аттестацию. Лукавят, можно и не в форме обязательной аттестации. Но мало кто из владельцев ИСПДн способен самостоятельно и должной мере оную оценку провести. А организации-лицензиату такую оценку любой ИСПДн проще провести в форме аттестации - схема отработанная, выходные документы известны, хоть фактические принципы работ и не меняются... Вы пост выше читали вообще? |
|
| Автор: Александр, Группа компаний ООО "Русь-телеком" | 105675 | 31.01.2019 14:12 |
|
Добрый день!
В соответствии с постоянным развитием в компьютерной индустрии и внедрением информационных систем в учреждения, встал вопрос по аттестации рабочих мест. Так как все ноутбуки и комплектующие адаптированы под MS Windows 10, решился ли вопрос с аттестацией рабочих мест на десятке или её аналоге Windows Server 2016??? Единственный нюанс в том, что Windows 10 Pro и Enterprise (с интеграцией «Secure Pack Rus») имеет сертификат ФСБ, а Windows Server 2016 имеет сертификат ФСТЭК. Они пока не внесены в формуляр VipNet и по ним вопрос решается! |
|
| Автор: Dfg | 105690 | 01.02.2019 19:21 |
|
Win10 сертифицировали ? На телеметрию закрыли глаза?
|
|
| Автор: oko | 105693 | 02.02.2019 15:06 |
|
to Dfg
Про телеметрию и проч. особенности 10ки было бы корректнее задать вопрос иначе: все-таки разрешили к применению на ОИ-ИОД с выходом в Интернет? :) to Александр Формально, по линии ФСТЭК и Win10, и Win2k16 как и прошлые версии требуют "навесных" СЗИ НСД для соответствия требованиям. А SPR - это только в случае работ по линии ФСБ only. Трудно будет доказать и аттестаторам, и регуляторам ФСТЭК, что эта "странная нашлепка + КриптоПро" решают все проблемы безопасности на уровне ОС... |
|
| Автор: mrtvj | 105733 | 07.02.2019 12:18 |
|
Добрый день, господа.
Судя по всему - я крайне запутался во всех стандартах и требованиях и теперь слегка обескуражен. В компании собираются использовать 2 системы. В одной системе прописан "класс защищенности к3", а во второй - аттестация арм по 1Г. вопросы такие: 1) есть ли типовые решения с точки зрения software и hardware под к3? 2) есть ли такое же под 1г? 3) можно ли использовать 1 машину для разных систем и можно ли их залицензировать? подумываю, что можно, но пока не очень понимаю, как это сделать :) |
|
| Автор: oko | 105734 | 07.02.2019 13:19 |
|
to mrtvj
1. Нет. Есть "типовые наработки" у каждой организации-лицензиата, выполняющей такие работы. Насколько они (типовые наработки) подойдут к вашему конкретному случаю, решается путем обследования вашего объекта. 2. Аналогично 1. 3. Можно. Не всегда. Аналогично 1. "класс защищенности К3/К2/К1" - это для объектов = КИИ / ГИС / АСУТП. Определяйтесь с типом объекта в первую очередь. Как определитесь, читайте соответствующую нормативку на сайте ФСТЭК (в первую очередь)... "АС класса 1Д/1Г/2Б/3Б" - это для объектов = КОНФИ (обработка коммерческой тайны и иже с ней), устаревшая, но действующая классификация. Это уже по СТР-К в чистом виде (тоже можете найти в Сети)... |
|
Страницы: < 1 2 3 4 >
Просмотров темы: 18458
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"