ВТСС в Техническом паспорте - Форум по вопросам информационной безопасности

Вопрос о необходимости внесения ВТСС в технический паспорт: можно ли не вносить ВТСС в техпаспорт, если угрозы ПЭМИН признаны неактуальными?

А каком объекте речь? Какая информация обрабатывается и на какие требования он аттестован?

*в сторону* подключаю модуль экстрасенсорики... такс...
Походу, дело в ГИС/ПДн/КОНФИ, ибо маловероятно, что речь идет о ГТ-бункере, где из всех ОТСС - механическая печатная машинка...
А коли так, то и ВТСС можно не указывать (за вычетом явно "паразитных" ВТСС, ага). Впрочем, дело тут даже не в ПЭМИН...

"ГИС/ПДн/КОНФИ " "то и ВТСС можно не указывать"

КОНФИ=ДСП (СИОР)?

Почему вы так решили понятно, но где это написано? И где написано что для ИСПДн, ГИС, АС ДСП, АС КТ - нужен тех.паспорт? Только если вы приняли ГОСТы или СТР-К как требования. А если приняли то формы Тех.паспортов (в зависимости от того что приняли) незыблемы и не предполагают волюнтаризма. А если как бы приняли мол требований нет, но пусть будет (как то описать систему надо) то к чему вопрос - описывайте как хотите в рамках своих решений и хотелок (модели , ТЗ и т.д.).
Краеугольный камень требования (в том числе и не документальные) в виде уже хотелок регулятора ни как и нигде ненаписанных. Пример - АС для получения лицензий по ТЗКИ.

to sekira
Со всем согласен, но хочу сделать уточнение по вот этому поводу: <И где написано что для ИСПДн, ГИС, АС ДСП, АС КТ - нужен тех.паспорт?>
АНЗ.4 - "Контроль состава технических средств, программного обеспечения и средств защиты информации". Требуется для ИСПДн 3 уровня и выше, ГИС 3 класса и выше. И кто скажет, что это не подразумевает оформление Технического паспорта (название может быть другим, но суть не меняется), пусть первым бросит в меня камень. Другое дело, что такая формулировка развязывает руки. Т.е. оный Техпаспорт допускается оформлять только в части ОТСС, ОПО, ППО, СПО и СЗИ. Т.е. без ВТСС. Что и требовалось доказать, ага...

ЗЫ Оно, конечно, верно, что требуется еще и Техпроект, в котором можно отразить и конечные ОТСС, и ОПО и проч. Но цимес в том, что вносить изменения в Техпроект (а это понадобится, никуда не денешься) куда накладнее, чем в отдельно оформленный Техпаспорт ОИ (ГИС, ИСПДн, АС, etc)...

"название может быть другим, но суть не меняется"
Я скажу. И суть меняется. В Тех_паспорте далеко не только "состава технических средств, программного обеспечения и средств защиты информации". Просто вы берете привычную форму, но она не обязательна!! Назовите документ по-другому (не как в ГОСТ и СТР-К) и не задавайте вопросов про ВТСС и др. (например линии и изменения).

to sekira
Эээ... мы же тут семантику обсуждаем, а не условности типа названий и проч. В противном случае, можно залезть в такую дыру, из которой ни НМД (весьма противоречивые, ага), ни вопросы к регуляторам (за чашкой конъяку, ага) уже не помогут выбраться. Так зачем плодить какой-нибудь из пальца высосанный "Акт фиксации технических средств, программного обеспечения и СЗИ", если можно обозвать это все Техпаспортом без ссылки на ГОСТ и иные НМД, в которых его форма явно зафиксирована? Рискну напомнить ваши же слова про рекомендательный характер СТР-К и необязательность ГОСТ :)

*в сторону* а с точки зрения бумаги все тоже непринципиально - она все стерпит, как показывает историческая практика...

"и необязательность ГОСТ :)" к сожалению вступил в силу ФЗ "О стандартизации"

Добрый день. Нужна консультация по техническому паспорту для типовых сегментов ГИС.
прочитал вышеизложенное и появились вопросы.
Есть ГИС, аттестован сегмент серверный и типовая клиентская часть. Техпаспорт есть только на серверный сегмент.
Клиентских частей около 400-450 будет. Хотелось бы как то упростить себе задачу и сделать следующим образом:
1) контроль ТС будет вестись бухгалтерский(инвентаризационный);
2) контроль ПО - минимальный набор ПО, которое должно быть установлено в клиентском сегменте. Контролируется актом проверки;
3) контроль СрЗИ - как в аттестате на типовой клиентский сегмент с настройками удовлетворяющими системе защиты. Контролируется актом.

Или все таки на каждое клиентское рабочее место делать техпаспорт?

Добрый день. Необходима консультация по банку
ИТ-шники планируют миграцию в приватное облако аттестованных систем.
Ниже интересующие вопросы на которые необходимо получить ответы:
1. Аттестацию проходит готовая, полностью описанная ИС. После аттестации запрещено менять в ней что-либо в плане процессов и т.п. Вопрос – как мы будем развивать наши ИС в свете этого?
2. Если мы будем аттестовывать наши АС по принципу «Типовых сегментов», то как мы будем распространять полученный аттестат на другие типовые сегменты?
3. Определены ли требования к ТС в Банке?
4. Как они учитываются при проектировании и внедрении АС Банка?
5. Структура ЧО и методы создания АС в ней учитывают распространения аттестата на типовые сегменты?
6. Какое подразделение Банка отвечает за проведение описанных выше мероприятий? К кому обращаться с вопросами и согласованиями?
7. Как скажется необходимость создания технического паспорта (или ПМИ) для новых сегментов (типовых) на согласовании ПСА АС, мигрирующих в ЧО?
8. Нужно ли будет учитывать аттестацию при создании ОТАР’ов?