Аттестация ГИС - Форум по вопросам информационной безопасности

Добрый день. Нужна помощь в аттестации ГИС.
Есть ГИС (центральный сервер, свой сервер в каждой организации).
Разработчики сделали интеграционную шину, которая выгружает инфу с серверов в организациях и вливает ее в центральную базу (автоматически).
Как правильно подойти к аттестации такой системы, таких серверов в организациях порядка 50.
Пользователей тысячи.
Как уйти от аттестации этих серверов, а аттестовать только центральный сервер. Система едина, заказчик один? Типовые сегменты, считать эти сервера отдельными испдн или какие варианты еще есть?

Как уйти от аттестации ГИС? Очень просто: засунуть Приказ 17 куда подальше и забыть.

А по-хорошему, здесь можно применить схему аттестации "типового набора сегментов", выделив сегмент "сервер организации - центральный сервер", описать, сделать документацию, провести испытания и аттестовать. В остальных сегментах провести приемочные испытания и распространить аттестат на них.
Правда, юридически такая схема работает, если оператором ГИС является одно юр. лицо.

Можно поподробнее о схеме "типового набора сегментов"? У нас операторы в каждой организации будут свои.

Тогда вам надо начать с вопросов: сколько у вас ГИС? Кто их операторы? Кому будет выдан аттестат (аттестаты)? Являются ли серверы организаций ГИС или только ИСПДн и кто решил, что они ГИС?

В общем, разобраться в юридической стороне дела, чтобы не наломать технических дров.

Пока склоняемся к такому варианту:
У нас одна ГИС с центральным сервером, оператор орган гос. власти.
В организациях свои собственные ИСПДн со своими серверами у каждой свой оператор, которые взаимодействуют с ГИС. В соответствии с усилением УПД.16 для ГИС требуем от них наличии договора (соглашения) об информационном взаимодействии с оператором ГИС и подтверждение выполнения во внешней информационной системе предъявленных к ней требований о защите информации.