Аттестация ГИС - Форум по вопросам информационной безопасности

Люди добрые, подскажите, пожалуйста, малость запутался.

Аттестация ГИС.

Есть сервера, которые физически находятся в ЛВС, но они не обрабатывают какую-либо информацию из ГИС - нужно ли их включать перечень аттестуемого оборудования или можно не включать?

Спасибо.

to Лука
ВТСС же классические. И тут все зависит от вашей частной модели угроз и *вырезано* желания */вырезано*. Т.е. ТС, в памяти которых не циркулирует защищаемая ИОД, можно, конечно, не рассматривать, но... приведу пример: если между целевым сервером-обработчиком-ИОД настроены доверительные отношения (любого типа) с сервером домена, то стоит, пожалуй, защитить и сервер домена (или саму схему подключения) + его каким-либо способом отразить в документации по ГИС, ага...

oko
Спасибо за совет.
Доп вопрос: сервер-шлюз (с установленным СКЗИ VipNET) должен входить в ОТСС или его можно попробовать отправить в ВТСС?


Еще вопросик про аттестацию:
Владельцем ГИС является орган власти. Его подведомтсвенное учреждение работает с этой ГИС.
С я скажу даже больше: де юре - это другое юрлицо, но де факто - это одна физическая и логическая сеть.
Так вот вопрос: Допустимо ли проводить аттестацию (со всем пакетом документов, включая модель угроз) на всю систему, включая присоединённые АРМы подведа владельцем ГИС. Или каждое такое юрлицо обязательно должно само все это организовывать (договора, документация и т.д.)?

to Лука
Через этот сервер-шлюз "гонят" ИОД (по тем же защищенным каналам ViPNet)? Если да - ОТСС со всеми вытекающими. Если нет, то можно и как ВТСС. Но, поскольку для ГИС обычно ВТСС никто не расписывает детально, отразите его на схемах, укажите как МЭ в перечне компонент системы защиты и дело с концом...
В тему подведа. Уже много раз обсуждалось, но отошлю вас к 17 Приказу: "Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора ..., обеспечивает защиту информации в соответствии с законодательством Российской Федерации ..." Т.е. пусть орган власти официально назначит подведа Оператором ГИС "и летят дальше" (с) в составе единой ГИС, ага...

"Т.е. пусть орган власти официально назначит подведа Оператором ГИС "и летят дальше" (с) в составе единой ГИС, ага..."
Вот все таки не понятно - так все таки можно или нет подведомственное учреждение не нагружать этой темой, а все сделать за них (ну, кроме повседневной работы пользователей с системой)?

to Лука
Впервые встречаю, чтобы госорган не хотел подведа нагружать...
Можно. Права и обязанности всегда определяет владелец ИОД/ГИС (он же "заказчик" по терминологии 17 Приказа). Нехай специалисты владельца ГИС организуют конкретные требования к защите + распишут ОРД, а потом подвед, выступающий в роли оператора, все это будет эксплуатировать. Модуль экстрасенсорики подсказывает, что все равно будут лицензиата со стороны нанимать, чтобы все это реализовать. В таком ключе разница несущественна, ага...

oko
Спасибо за консультацию.

А если рассказать про "подведа", то можно сказать только одно: была единая организация. а потому кому-то для чего-то захотелось выделить не госорган (но бюджетную организацию).
Сказали некоторому количеству людей: ты, ты, ты, ты будешь сотрудником этой организации, ты будешь руководителем, а ты глав бухом. А вот ИТ "забыли". В итоге люди, как сидели на тех же рабочих местах, как занимались тем же самым, так и продолжили это делать.
Вот такая вот история.

При том даже отдельных помещений нет (ну, кроме кабинета руководит новой организации) - сотрудники сидят за соседними столами, иногда напротив друг друга, но работают в разных ЮЛ.