Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация ИСПДн - Форум по вопросам информационной безопасности

Аттестация ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 >

Автор: WORM, MK | 105593 18.01.2019 13:33
Евгений, а что вы понимаете под К3??

Автор: Евгений | 105617 22.01.2019 14:27
WORM, класс защищенности информационной системы, у нас К3. Надо ли проводить аттестацию для этой ИСПДн

Автор: oko | 105618 22.01.2019 15:41
to Евгений
Возможно, ошиблись (или для общего словца), но для корректности ситуации: классы ИСПДн отменили уже давненько. Теперь это "Уровни защищенности", которые считаются несколько иначе.
Аттестация ИСПДн - дело сугубо добровольное. Хоть для У4, хоть для У1. Другое дело, часто это требование прописывают ведомства, под которыми "ходят" организации-владельцы ИСПДн. Да и подтверждение защищенности ИСПДн в форме аттестации, зачастую, предлагают все организации-лицензиаты (и у регулятора потом вопросов меньше). Хотя организация-владелец ИСПДн имеет право и самостоятельно подтвердить ее защищенность - при наличии возможностей, разумеется. Так что думайте в свете вышесказанного, по какому пути будете идти...
Прошло около недели

Автор: Даниил, Комитет | 105653 30.01.2019 08:37
Доброго времени суток, господа! Я новичок в ИБ. Можете мне подсказать зачем вообще аттестовать рабочие места ИСПДн и что это дает в конечном счете (класс защищенности К3 по пойму у нас)

Автор: oko | 105656 30.01.2019 12:44
to Даниил
Дает подтверждение того, что ИСПДн выполняет все требования безопасности, определенные законодательством (регуляторами) для ее уровня защищенности (забудьте вы уже про классы, ага). Причем в случае с аттестацией - подтверждение не самоличное, а заверенное некоей "доверенной" организацией...
Приказ 21 ФСТЭК России по части защиты ИСПДн, "Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года."
ФСТЭК писали, что понимают под этой "оценкой эффективности" именно аттестацию. Лукавят, можно и не в форме обязательной аттестации. Но мало кто из владельцев ИСПДн способен самостоятельно и должной мере оную оценку провести. А организации-лицензиату такую оценку любой ИСПДн проще провести в форме аттестации - схема отработанная, выходные документы известны, хоть фактические принципы работ и не меняются...
Вы пост выше читали вообще?

Автор: Александр, Группа компаний ООО "Русь-телеком" | 105675 31.01.2019 14:12
Добрый день!

В соответствии с постоянным развитием в компьютерной индустрии и внедрением информационных систем в учреждения, встал вопрос по аттестации рабочих мест.

Так как все ноутбуки и комплектующие адаптированы под MS Windows 10, решился ли вопрос с аттестацией рабочих мест на десятке или её аналоге Windows Server 2016???

Единственный нюанс в том, что Windows 10 Pro и Enterprise (с интеграцией «Secure Pack Rus») имеет сертификат ФСБ, а Windows Server 2016 имеет сертификат ФСТЭК.

Они пока не внесены в формуляр VipNet и по ним вопрос решается!

Автор: Dfg | 105690 01.02.2019 19:21
Win10 сертифицировали ? На телеметрию закрыли глаза?

Автор: oko | 105693 02.02.2019 15:06
to Dfg
Про телеметрию и проч. особенности 10ки было бы корректнее задать вопрос иначе: все-таки разрешили к применению на ОИ-ИОД с выходом в Интернет? :)

to Александр
Формально, по линии ФСТЭК и Win10, и Win2k16 как и прошлые версии требуют "навесных" СЗИ НСД для соответствия требованиям. А SPR - это только в случае работ по линии ФСБ only. Трудно будет доказать и аттестаторам, и регуляторам ФСТЭК, что эта "странная нашлепка + КриптоПро" решают все проблемы безопасности на уровне ОС...

Автор: mrtvj | 105733 07.02.2019 12:18
Добрый день, господа.
Судя по всему - я крайне запутался во всех стандартах и требованиях и теперь слегка обескуражен.
В компании собираются использовать 2 системы. В одной системе прописан "класс защищенности к3", а во второй - аттестация арм по 1Г.

вопросы такие:
1) есть ли типовые решения с точки зрения software и hardware под к3?
2) есть ли такое же под 1г?
3) можно ли использовать 1 машину для разных систем и можно ли их залицензировать? подумываю, что можно, но пока не очень понимаю, как это сделать :)

Автор: oko | 105734 07.02.2019 13:19
to mrtvj
1. Нет. Есть "типовые наработки" у каждой организации-лицензиата, выполняющей такие работы. Насколько они (типовые наработки) подойдут к вашему конкретному случаю, решается путем обследования вашего объекта.
2. Аналогично 1.
3. Можно. Не всегда. Аналогично 1.
"класс защищенности К3/К2/К1" - это для объектов = КИИ / ГИС / АСУТП. Определяйтесь с типом объекта в первую очередь. Как определитесь, читайте соответствующую нормативку на сайте ФСТЭК (в первую очередь)...
"АС класса 1Д/1Г/2Б/3Б" - это для объектов = КОНФИ (обработка коммерческой тайны и иже с ней), устаревшая, но действующая классификация. Это уже по СТР-К в чистом виде (тоже можете найти в Сети)...

Страницы: < 1 2 3 4 >

Просмотров темы: 14023

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*