СТР-К или 17 приказ - Форум по вопросам информационной безопасности
СТР-К или 17 приказ - Форум по вопросам информационной безопасности
| Автор: Yrgen | 105561 | 15.01.2019 08:46 |
|
Добрый день!
1. Встал вопрос об аттестации АС и ЗП по конфе, чем руководствоваться СТР-К или 17 приказом? (аттестация не под лицензию, организация коммерческая, к ГИС тоже не имеет отношения). 2. Какие инструкции (ОРД) необходимо разработать для вышеперечисленных работ? (помимо ТП и актов). |
|
| Автор: Hecc | 105563 | 15.01.2019 12:14 |
|
1. Стр-К, дспшными гостами по аттестации и типовыми методиками.
2. См. СТР-К |
|
| Автор: WORM, MK | 105565 | 15.01.2019 17:02 |
|
Было бы интересно посмотреть на ЗП, аттестованное по 17-му приказу.
Если вы коммерческая организация, и если не под лицензию - решайте сами. ЗП, кроме как по СТР-К, больше не по чем аттестовать (хотя, скажем, есть такие рекомендации ФСТЭК по защите коммерческой тайны, почему-то дспшные. впрочем, это те же СТР-К, только вид сбоку). Насчет АС - подумайте, что и от чего вы собрались в ней защищать, и посчитайте деньги: что дешевле - по 17 или по РД АС. |
|
| Автор: Виновен | 105568 | 16.01.2019 10:19 |
|
Господа, не могли подсказать почему к АС по конфе возможно применение 17го приказа?
17й приказ касается ГИС, а согласно 149-ФЗ ГИС создаются на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Т.е. коммерческая организация не может создать ГИС. Как тогда к АС-к можно прикрутить 17й? Или было какое-то письмо регулятора? |
|
| Автор: Мотя | 105569 | 16.01.2019 10:28 |
|
Да потому что постоянно народ путает 17 (ГИС) и 21 (ПДн) приказы
|
|
| Автор: Alex_kl | 105570 | 16.01.2019 10:33 |
|
Виновен | 105568
Коммерческая организация для защиты своей конфиденциальной информации в принципе может применять любой удобный ей набор требований, в том числе и СТР-К или 17, или 21, или 31 или даже 239 приказы ФСТЭК или аналоги ФСБ или вообще разработать абсолютно оригинальный свой документ - запретить ей это нельзя (но это именно для своей информации) - главное - затвердить локальным распорядительным документом. |
|
| Автор: oko | 105571 | 16.01.2019 12:05 |
|
to Виновен
Потому что надо читать сам 17 Приказ: <6. По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах.> to Alex_kl +1 Но организаций, в которых отдел ИБ способен на такое (с нуля или на основе того же 17 Приказа сгенерировать свой внутренний стандарт с преферансом и куртизанками), ничтожно мало (если мы не говорим о "национальном достоянии" и т.п. - это уже не организации в полном понимании этого слово)... |
|
| Автор: Alex_kl | 105575 | 16.01.2019 14:40 |
|
To Oko
С последним утверждением полностью согласен, но теоретически ... ;-) |
|
| Автор: GVBH | 105582 | 17.01.2019 12:12 |
|
2 oko
национальное достояние тоже СТР-К юзает |
|
| Автор: oko | 105584 | 17.01.2019 17:09 |
|
to GVBH
Прикрытый нюансами из кучи собственных стандартов и приказов. Росатом туда же... Это все равно, что при защите децентрализованной системы ЦОД с разнородной стопкой технологий и техпроцессов вписать в проект модель Белла-Лападулы. С одной стороны, возможно, реально применяется (слегка), но в большей степени все-таки ради наукообразия, потому что один из столпов, ага... |
|
Просмотров темы: 2322
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"