Автор: Андрей | 75126 | 07.08.2017 13:39 |
Вопрос о необходимости внесения ВТСС в технический паспорт: можно ли не вносить ВТСС в техпаспорт, если угрозы ПЭМИН признаны неактуальными?
|
Автор: sekira | 75137 | 07.08.2017 20:03 |
А каком объекте речь? Какая информация обрабатывается и на какие требования он аттестован?
|
Автор: oko | 75138 | 07.08.2017 22:10 |
*в сторону* подключаю модуль экстрасенсорики... такс...
Походу, дело в ГИС/ПДн/КОНФИ, ибо маловероятно, что речь идет о ГТ-бункере, где из всех ОТСС - механическая печатная машинка... А коли так, то и ВТСС можно не указывать (за вычетом явно "паразитных" ВТСС, ага). Впрочем, дело тут даже не в ПЭМИН... |
Автор: sekira | 75142 | 08.08.2017 08:27 |
"ГИС/ПДн/КОНФИ " "то и ВТСС можно не указывать"
КОНФИ=ДСП (СИОР)? Почему вы так решили понятно, но где это написано? И где написано что для ИСПДн, ГИС, АС ДСП, АС КТ - нужен тех.паспорт? Только если вы приняли ГОСТы или СТР-К как требования. А если приняли то формы Тех.паспортов (в зависимости от того что приняли) незыблемы и не предполагают волюнтаризма. А если как бы приняли мол требований нет, но пусть будет (как то описать систему надо) то к чему вопрос - описывайте как хотите в рамках своих решений и хотелок (модели , ТЗ и т.д.). Краеугольный камень требования (в том числе и не документальные) в виде уже хотелок регулятора ни как и нигде ненаписанных. Пример - АС для получения лицензий по ТЗКИ. |
Автор: oko | 75252 | 08.08.2017 13:10 |
to sekira
Со всем согласен, но хочу сделать уточнение по вот этому поводу: <И где написано что для ИСПДн, ГИС, АС ДСП, АС КТ - нужен тех.паспорт?> АНЗ.4 - "Контроль состава технических средств, программного обеспечения и средств защиты информации". Требуется для ИСПДн 3 уровня и выше, ГИС 3 класса и выше. И кто скажет, что это не подразумевает оформление Технического паспорта (название может быть другим, но суть не меняется), пусть первым бросит в меня камень. Другое дело, что такая формулировка развязывает руки. Т.е. оный Техпаспорт допускается оформлять только в части ОТСС, ОПО, ППО, СПО и СЗИ. Т.е. без ВТСС. Что и требовалось доказать, ага... ЗЫ Оно, конечно, верно, что требуется еще и Техпроект, в котором можно отразить и конечные ОТСС, и ОПО и проч. Но цимес в том, что вносить изменения в Техпроект (а это понадобится, никуда не денешься) куда накладнее, чем в отдельно оформленный Техпаспорт ОИ (ГИС, ИСПДн, АС, etc)... |
Автор: sekira | 75257 | 08.08.2017 15:33 |
"название может быть другим, но суть не меняется"
Я скажу. И суть меняется. В Тех_паспорте далеко не только "состава технических средств, программного обеспечения и средств защиты информации". Просто вы берете привычную форму, но она не обязательна!! Назовите документ по-другому (не как в ГОСТ и СТР-К) и не задавайте вопросов про ВТСС и др. (например линии и изменения). |
Автор: oko | 75261 | 08.08.2017 18:21 |
to sekira
Эээ... мы же тут семантику обсуждаем, а не условности типа названий и проч. В противном случае, можно залезть в такую дыру, из которой ни НМД (весьма противоречивые, ага), ни вопросы к регуляторам (за чашкой конъяку, ага) уже не помогут выбраться. Так зачем плодить какой-нибудь из пальца высосанный "Акт фиксации технических средств, программного обеспечения и СЗИ", если можно обозвать это все Техпаспортом без ссылки на ГОСТ и иные НМД, в которых его форма явно зафиксирована? Рискну напомнить ваши же слова про рекомендательный характер СТР-К и необязательность ГОСТ :) *в сторону* а с точки зрения бумаги все тоже непринципиально - она все стерпит, как показывает историческая практика... |
Автор: sekira | 75262 | 08.08.2017 19:36 |
"и необязательность ГОСТ :)" к сожалению вступил в силу ФЗ "О стандартизации"
|
Автор: Альберт | 89807 | 19.03.2018 08:42 |
Добрый день. Нужна консультация по техническому паспорту для типовых сегментов ГИС.
прочитал вышеизложенное и появились вопросы. Есть ГИС, аттестован сегмент серверный и типовая клиентская часть. Техпаспорт есть только на серверный сегмент. Клиентских частей около 400-450 будет. Хотелось бы как то упростить себе задачу и сделать следующим образом: 1) контроль ТС будет вестись бухгалтерский(инвентаризационный); 2) контроль ПО - минимальный набор ПО, которое должно быть установлено в клиентском сегменте. Контролируется актом проверки; 3) контроль СрЗИ - как в аттестате на типовой клиентский сегмент с настройками удовлетворяющими системе защиты. Контролируется актом. Или все таки на каждое клиентское рабочее место делать техпаспорт? |
Автор: Артем | 108187 | 03.06.2020 16:35 |
Добрый день. Необходима консультация по банку
ИТ-шники планируют миграцию в приватное облако аттестованных систем. Ниже интересующие вопросы на которые необходимо получить ответы: 1. Аттестацию проходит готовая, полностью описанная ИС. После аттестации запрещено менять в ней что-либо в плане процессов и т.п. Вопрос – как мы будем развивать наши ИС в свете этого? 2. Если мы будем аттестовывать наши АС по принципу «Типовых сегментов», то как мы будем распространять полученный аттестат на другие типовые сегменты? 3. Определены ли требования к ТС в Банке? 4. Как они учитываются при проектировании и внедрении АС Банка? 5. Структура ЧО и методы создания АС в ней учитывают распространения аттестата на типовые сегменты? 6. Какое подразделение Банка отвечает за проведение описанных выше мероприятий? К кому обращаться с вопросами и согласованиями? 7. Как скажется необходимость создания технического паспорта (или ПМИ) для новых сегментов (типовых) на согласовании ПСА АС, мигрирующих в ЧО? 8. Нужно ли будет учитывать аттестацию при создании ОТАР’ов? |
Просмотров темы: 5523