Автор: zloy | 106702 | 13.06.2019 14:38 |
Доброго времени суток! Помогите, не могу разобраться в следующей ситуации.
Есть орган исполнительной власти, есть ФГИС в которой обрабатываются ПДн. Регулятор утверждает, что помимо аттестации самой ФГИС необходимо иметь аттестат соответствия требованиям защиты информации на каждое автоматизированное рабочее место (далее - АРМ) за которым ведется обработка ПДн. Не могу найти где именно прописано это требование. Регулятор ссылается на 17 приказ ФСТЭК, но там содержатся требования к аттестации самой ФГИС, а не АРМ. |
Автор: Александр | 106705 | 13.06.2019 15:24 |
Если все АРМ состоят в одной ОС, то аттестовываться должна вся ИС.
В тех паспорте пропишутся все армы. Делать аттестацию на каждый арм - это делать отдельный комплект документов на каждое рабочее место. Это не адекватно. |
Автор: Александр | 106706 | 13.06.2019 15:25 |
ИС*
|
Автор: WORM, MK | 106707 | 13.06.2019 15:42 |
Что это за регулятор, интересно? Наверняка ФСБ. Они, к сожалению, даже не всегда понимают, что такое аттестация, и практически никогда не знают когда она обязательна, а когда нет. Отсюда и проблемы.
Желательно, чтобы они хоть как-то обосновали свою хотелку. *в сторону" скоро, очень скоро безграмотные проверяющие начнут требовать от субъектов КИИ обязательной аттестации их объектов. |
Автор: WORM, MK | 106712 | 13.06.2019 16:43 |
to zloy
Как говорится, типичный случай. Проблема повсеместная, и решать ее должны те, кто отвечает за расходы бюджета, просто посчитав количество бюджетных средств, расходуемых на аттестацию всего и вся по хотелкам регуляторов. Вообще-то любой госкомпьютер так или иначе взаимодействует с ГИС. Следовательно, в бюджете нужно закладывать деньги на аттестацию каждого компа во всех госструктурах. Но, похоже, есть план по сбору штрафов, и во что обходится выполнение этого плана, никтого не волнует. |
Автор: oko | 106719 | 14.06.2019 09:09 |
*в сторону*
Эх, и где там тематический раздел, когда он так нужен? to zloy Если только ПДн, то аттестация под большим вопросом... Если ФГИС не выставила конкретных требований, что оконечные рабочие места входят в ее состав, то аттестация, в целом, не требуется - достаточно реализации определенных мер защиты и акта/протокола их выполнения... Если ФГИС вообще требований не выставила - отправляйте регулятора вначале к ее владельцу/оператору - нехай разберутся с "головой" вначале... НО! Это только в том случае, если в ОИВ на АРМ, подключаемым к ФГИС, не крутится своя информация ограниченного доступа (читай, помеченная каким-либо приказом, положением, регламентом, как конфиденциальная). Потому что иначе попадание в 17 Приказ гарантировано и, соответственно, выполнять его меры защиты придется. Со всеми вытекающими... |
Автор: WORM, MK | 106721 | 14.06.2019 10:02 |
" Потому что иначе попадание в 17 Приказ гарантировано и, соответственно, выполнять его меры защиты придется. Со всеми вытекающими... "
Есть ОИВ, которые до сих пор считают, что гарантировано попадание в СТР-К. |
Автор: oko | 106727 | 16.06.2019 00:09 |
to WORM
А в Череповце намедни сварганили самый большой в России бутерброд с маслом, но это же не повод... Впрочем, тут все еще недоработка регулятора многолетней давности. Которая каждый год стремится к ликвидации, но так и не решается. Как говорится, будем посмотреть, ага... |
Автор: Prefect | 106753 | 19.06.2019 04:54 |
Добрый день, коллеги! Хотим провести аттестацию ранее аттестованного АРМ обрабатывающего ГТ. Орган по аттестации указывает, что необходимо провести повторные лабораторные исследования, обосновывая тем, что методики проверки поменялись. Правильно ли это?
|
Просмотров темы: 5107