Автор: Новичок | 92497 | 04.05.2018 16:44 |
Добрый день, коллеги. Вопрос, наверное, больше дилетантский...
Есть АРМ на которой обрабатываются ПДн, стандартными средства ОС, данную машину необходимо аттестовать, не спрашивайте почему... это уже очень сложный вопрос. Вопрос заключается в том, как именно ее аттестовать: как АС или ИСПДн, или же как АС с признаками ИСПДн? Не будет ли ошибкой аттестовать ее по 21 приказу ФСТЭК? |
Автор: Новичок | 92498 | 04.05.2018 16:47 |
и как я понимаю, что в случае, если ее назвать ИСПДн, то ее будет необходимо вносить в реестр Роскомнадзора
|
Автор: sekira | 92505 | 05.05.2018 06:21 |
ПДн+АС=ИСПДн
"данную машину необходимо аттестовать" На самом деле в этом соль! |
Автор: WORM, MK | 92524 | 06.05.2018 10:47 |
Все упирается в то, выполнение каких требований хотят подтвердить аттестатом. Если речь идет о защите ПДн и выполнении требований по их защите - 21-й приказ в самый раз. А если в этой АС обрабатывается некая ИОД ("служебная" информация или что-то подобное, чего обладатель и сам толком не знает, просто хочет аттестат), то можно и как АС.
Если владельцу АС все равно, что будет написано в аттестате, лишь бы он был, то логичнее, мне кажется аттестовать по 21-му. |
Автор: oko | 92525 | 06.05.2018 11:57 |
to Новичок
<Стандартными средства ОС> - в notepad набирают и в txt-хранят? Или в реестр Windows записи ПДн заносят? Какое-нибудь ППО однозначно есть, не путайте... <Есть АРМ на которой обрабатываются ПДн> - и чего тут думать? ИСПДн, же... ЗЫ Принципиальная разница между АС и ИСПДн (де юре и в части аттестации и первичных работ по проектированию и внедрению системы защиты информации): 1. Для ИСПДн нужна Модель угроз - для АС нет (вернее, она может быть любой, вообще любой, ага). 2. Для ИСПДн учитываются новые технологии (виртуализация, грид-системы и проч.) - для АС нет. 3. Для ИСПДн требуется доп.ворох инструкций/положений/приказов (по линии РКН, в частности) - для АС нет. 4. Для ИСПДн весьма актуальна регулятивная позиция про "мониторинг ИБ, выявление уязвимостей, контроль защищенности в свете новых УБИ" - для АС нет (потому что на КОНФИ-АС все давно забили, ага). 5. В большинстве случаев в ИСПДн потребуется внедрять сертифицированные СЗИ - в АС, кстати, нет. С СКЗИ не путать! Там всегда без вариантов, если уж внедряете... Все вышесказанное, конечно, условно. Мы - стражи защиты информации - не имеем права халявить там, где может произойти ее утечка в чужие загребущие руки! Но, когда нет обязаловки, а ценность ИОД крайне мала, очень хочется (и далее по тексту, ага)... |
Автор: sekira | 92529 | 06.05.2018 16:53 |
Нельзя аттестовать АС с ПДн не как ИСПДн!
|
Автор: WORM, MK | 92531 | 06.05.2018 17:09 |
" Нельзя аттестовать АС с ПДн не как ИСПДн !"
В рассматриваемом случае аттестация добровольная, поэтому владелец объекта сам решает, по каким требованиям он хочет аттестовать объект. Как вы любите говорить, тов. sekira, "где такое написано? пункт документа?" |
Автор: sekira | 92535 | 06.05.2018 20:18 |
ФЗ 152 ст. 3 10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
ст 19 п 2 2. Обеспечение безопасности персональных данных достигается, в частности: 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; Приказ 21 п 6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. Если АС ИСПДн то требования надо выполнить и оценить. Игнорировать при аттестации обязательные требования к АС как к ИСПДн ? |
Автор: WORM, MK | 92536 | 06.05.2018 20:49 |
to sekira
Ничего игнорировать не надо. Требования по защите ПДн и выполнить, и оценить может и сам владелец безо всякой аттестации. Проведет испытания, напишет акт. А вот если владелец хочет подтвердить, что его ИСПДн одновременно соответствует требованиям к АС по классу 1Г, он проводит ее аттестацию. Ничего не нарушаем, ни одной буквы. |
Автор: oko | 92538 | 06.05.2018 22:49 |
*в сторону*
И огребает от местного УФСТЭК по причине их радикальных взглядов в стиле "акт ничто, аттестация всё"... |
Просмотров темы: 5926