Аттестация АРМ на предмет соответствия требованиям защиты информации - Форум по вопросам информационной безопасности

Доброго времени суток! Помогите, не могу разобраться в следующей ситуации.
Есть орган исполнительной власти, есть ФГИС в которой обрабатываются ПДн. Регулятор утверждает, что помимо аттестации самой ФГИС необходимо иметь аттестат соответствия требованиям защиты информации на каждое автоматизированное рабочее место (далее - АРМ) за которым ведется обработка ПДн. Не могу найти где именно прописано это требование. Регулятор ссылается на 17 приказ ФСТЭК, но там содержатся требования к аттестации самой ФГИС, а не АРМ.

Если все АРМ состоят в одной ОС, то аттестовываться должна вся ИС.
В тех паспорте пропишутся все армы. Делать аттестацию на каждый арм - это делать отдельный комплект документов на каждое рабочее место. Это не адекватно.

ИС*

Что это за регулятор, интересно? Наверняка ФСБ. Они, к сожалению, даже не всегда понимают, что такое аттестация, и практически никогда не знают когда она обязательна, а когда нет. Отсюда и проблемы.
Желательно, чтобы они хоть как-то обосновали свою хотелку.

*в сторону" скоро, очень скоро безграмотные проверяющие начнут требовать от субъектов КИИ обязательной аттестации их объектов.

Да, ФСБ. После чего рождаются такие вот административки https://sudact.ru/regular/doc/AXzWC8Fn5vmT/?regular-txt=&regular-case_doc=7-77%2F2016&regular-lawchunkinfo=&regular-doc_type=&regular-date_from=&regular-date_to=&regular-workflow_stage=&regular-area=&regular-court=%D0%A2%D0%B0%D0%BC%D0%B1%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B9+%D0%BE%D0%B1%D0%BB%D0%B0%D1%81%D1%82%D0%BD%D0%BE%D0%B9+%D1%81%D1%83%D0%B4+%28%D0%A2%D0%B0%D0%BC%D0%B1%D0%BE%D0%B2%D1%81%D0%BA%D0%B0%D1%8F+%D0%BE%D0%B1%D0%BB%D0%B0%D1%81%D1%82%D1%8C%29&regular-judge=&_=1560431970672

to zloy
Как говорится, типичный случай. Проблема повсеместная, и решать ее должны те, кто отвечает за расходы бюджета, просто посчитав количество бюджетных средств, расходуемых на аттестацию всего и вся по хотелкам регуляторов.
Вообще-то любой госкомпьютер так или иначе взаимодействует с ГИС. Следовательно, в бюджете нужно закладывать деньги на аттестацию каждого компа во всех госструктурах.

Но, похоже, есть план по сбору штрафов, и во что обходится выполнение этого плана, никтого не волнует.

*в сторону*
Эх, и где там тематический раздел, когда он так нужен?

to zloy
Если только ПДн, то аттестация под большим вопросом...
Если ФГИС не выставила конкретных требований, что оконечные рабочие места входят в ее состав, то аттестация, в целом, не требуется - достаточно реализации определенных мер защиты и акта/протокола их выполнения...
Если ФГИС вообще требований не выставила - отправляйте регулятора вначале к ее владельцу/оператору - нехай разберутся с "головой" вначале...
НО! Это только в том случае, если в ОИВ на АРМ, подключаемым к ФГИС, не крутится своя информация ограниченного доступа (читай, помеченная каким-либо приказом, положением, регламентом, как конфиденциальная). Потому что иначе попадание в 17 Приказ гарантировано и, соответственно, выполнять его меры защиты придется. Со всеми вытекающими...

" Потому что иначе попадание в 17 Приказ гарантировано и, соответственно, выполнять его меры защиты придется. Со всеми вытекающими... "

Есть ОИВ, которые до сих пор считают, что гарантировано попадание в СТР-К.

to WORM
А в Череповце намедни сварганили самый большой в России бутерброд с маслом, но это же не повод...
Впрочем, тут все еще недоработка регулятора многолетней давности. Которая каждый год стремится к ликвидации, но так и не решается. Как говорится, будем посмотреть, ага...

Добрый день, коллеги! Хотим провести аттестацию ранее аттестованного АРМ обрабатывающего ГТ. Орган по аттестации указывает, что необходимо провести повторные лабораторные исследования, обосновывая тем, что методики проверки поменялись. Правильно ли это?