Контакты
Подписка
МЕНЮ
Контакты
Подписка

Ежегодное техническое обслуживание аттестованного объекта информатизации - Форум по вопросам информационной безопасности

Ежегодное техническое обслуживание аттестованного объекта информатизации - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Татьяна | 105933 07.03.2019 14:05
Добрый день!

Помогите разобраться с ситуацией. Год назад была проведена аттестация объекта информатизации в нашей организация с последующей выдачей аттестата соответствия. По прошествии года требуется обновление установленных средств защиты информации.
Фирма, которая проводила аттестацию, прислала КП на ежегодное тех.обслуживание системы (в которое входит помимо предоставления лицензий еще и установка СЗИ, а также само проведение проверки).
В связи с этим вопрос, так ли необходимо ежегодное тех.обслуживание, если аттестат действует 4 года?
Нельзя ли просто купить у них лицензии сроком еще на год и установить все своими силами администратору системы?

Автор: oko | 105934 08.03.2019 18:29
to Татьяна
Какой ОИ? Гостайна, КОНФИ, ГИС, ИСПДн, АСУТП, КИИ? Читайте соответствующие Приказы ФСТЭК в части необходимости и правил проведения периодического контроля...
Дополнительно:
Primo, техобслуживание ни для одного из направлений официально не закреплено - это мера, которую вам навязывают, не более, если называют именно техобслуживанием...
Secundo, Модуль экстрасенсорики подвис в попытке распознать, что есть "требуется обновление установленных средств защиты информации"?
Tertio, однако, Модуль экстрасенсорики подсказывает, что у вас ситуация простейшая - закончилась лицензия на АВЗ (DrWeb, Kaspersky и т.п.) или АНЗ (например, тот же Ревизор Сети), и лицензиат, выдавший Аттестат, хочет под шумок срубить чуть-чуть капусты. Нельзя его за это винить. Но, ежели ситуация именно такая, то купить новую лицензию и установить ее руками собственных админов самостоятельно и без привлечения - ваше священное право, ага...

Автор: WORM, MK | 105937 09.03.2019 14:34
"Какой ОИ? Гостайна, КОНФИ, ГИС, ИСПДн, АСУТП, КИИ?"

Не усложняйте, тов. oko. Аттестат на 5 лет можно выдать только на ГТ и ГИС.

to Татьяна
Надо внимательно прочитать что написано в Вашем аттестате, каковы обязанности Вашей организации по эксплуатации ОИ. И, конечно, разобраться об установке/обновлении каких именно СЗИ идет речь и почему это нужно делать спустя год. Попробуйте получить ответ на этот вопрос от Вашего атттестатора и уже отсюда пляшите.

Автор: oko | 105938 09.03.2019 18:14
to WORM
В ИСПДн вообще речи об аттестации не идёт, но могут и до 5 лет, было бы желание (пусть бы и оценка раз в 3 года - обозвать можно хоть периодическим обязательным контролем). АСУТП в ту же степь. А что до остального... непонятность ситуации ТС (и знание особенностей работы многих лицензиатов, ага) заставляет задуматься о возможности невозможного...

Автор: WORM, MK | 105939 09.03.2019 19:10
"но могут и до 5 лет"

На каком основании?
А до 10 лет могут?

Автор: oko | 105940 10.03.2019 00:01
to WORM
Не наезжайте. Я к тому, что могут многое, видел даже. Ни Положение по аттестации не указ, ни ГОСТ, ни другие нормы и правила. Например, примут на веру "5 лет вместо 3", исходя из новых веяний в ГИС/ГТ или обсуждений с представителями местного регулятора в курилке (которые тоже в текущем бардаке не до конца разбираются) - выдадут. Хуже времени нет, чем жить в эпоху перемен...

ЗЫ Был заказчик, упорно веривший в 2016 г., что аттестат выдается на 5 лет (не больше, не меньше) и что во время аттестации в довесок разрабатывается новое руководство ПД ИТР. И переубедить удалось только звонком в ЦА ФСТЭК...

Автор: Татьяна | 105950 11.03.2019 11:05
to oko

Добрый день!

На данный момент есть три системы ГИС, ЕГИСМ и ФИС ФРДО (в аттестате именуемая ИСПДн ОИ ФЦТ)

CЗИ являются SecretNet, а также VipNetClient+ViPNetCoordinator, которые требуют обновления.

Не могли бы Вы подсказать для обновления этих СЗИ в перечисленних ОИ необходимо привлечение сторонних организаций?
Просто с вопросами аттестации и обслуживания систем по ИБ столкнулась впервые, не знаю к кому обратится, а если спрашивать у организации проводившей аттестацию, они как один говорят, что "конечно необходимо делать нам".

Автор: sekira | 105953 11.03.2019 12:06
Смотря какие обновления. Если в рамках существующих действующих и прописанных в аттестатах то можете обновить сами, для КИ даже без согласования с лицензиатом. Сами не можете лицензиатов (любых с соответствующими пунктами в лицензии) попросите.

Автор: oko | 105957 11.03.2019 14:19
to Татьяна
ViPNet... Смотрите прошлый договор с лицензиатом, выдавшим аттестат, вот в нем пункт про "техобслуживание" и указан, вестимо. Вероятнее всего, речь идет либо об обновлении ключевой информации (зачастую, раз в год, да), либо вообще об обновлении ПО клиентов и координатора. Кстати, насколько знаю, Инфотекс (разработчик ViPNet) новых версий еще не выпускал. Следовательно, если обновление лицензиат предполагает именно для ПО (не ключей), то он, выходит, в прошлом году вам установил устаревшую версию клиента/координатора. Что само по себе весьма подозрительно и не хорошо...
С SecretNet та же песня. Если это Secret Net Studio и в ее составе у вас имеется модуль антивирусной защиты или модуль системы обнаружения вторжений (выясняйте сами), то там тоже годовая лицензия, насколько помню. Однако данную лицензию вполне спокойно можете обновить сами без привлечения лицензиата...
Короче говоря, выясняйте детали - дьявол именно в них, ага...

Просмотров темы: 1737

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*