Автор: Baraddur, Evel | 107664 | 16.12.2019 14:13 |
Добрый день!
Господа, прошу подсказки в систематизации информации по теме ИБ. Предприятие: Государственное автономное учреждение, сфера культуры. IT- инфраструктура в плачевном состоянии, планируется полная модернизация ("недоЛВС") в КСПД и приведение к комплексной IT-инфраструктуре,но встал вопрос о действующей нормативно-правовой документации Российской Федерации в области защиты информации. Тут то я и увяз в чтении законов, приказов, положений и прочего, ранее я не сталкивался с бюджетной организацией и я не сталкивался с организацией ИБ. А теперь прошу помощи разобраться! 1. Мы государственная организация, есть сотрудники, значит есть ПДн, значит мы оператор ПДн? Потому что оперируем, храним, копируем и пр. 2. У нас хранится, обрабатывается, передается информация. Мы ИС ? (тут я уверен что да!) 3. Бух. учет переведен с нашего сервера на работу в облако, есть электронный документо-оборот (По этому пункту я определил нас как оператора ГИС, но позже мне предоставили технический регламент к договору с "Посредником", оператором. В регламенте указанно что мы Участник, а он оператор ГИСа). подключены по випнету. В регламенте есть требования по организации мероприятий: Ответственные, учет, перечень документов т.д. (Бумажная ИБ) Нужно ли создавать "модель угроз" перед этими документам? Нужно ли при планировании КСПД, включить в перечень сетевых устройств, только лицензированное ФСТЭКом оборудование, или хватит только разграничить сети лицензированным устройством, а за ним будут практичные и общедоступные устройства? Вот такая каша по трём пунктам, прошу помочь истолковать и определить наше место в пищевой цепочке)))) |
Автор: Практик | 107667 | 16.12.2019 17:38 |
2 Baraddur
С бухгалтерией проще всего: оператор "внешний", и он вам диктует набор организационных и технических требований. Там и модель, и выбор средств - его заботы. Свои БД и прочие ресурсы вы должны инвентаризовать (лучше с привлечением лицензиата ФСТЭК, иначе бюджет и штаты в вашей служебной записке порежут) и подготовить план организации ИС. То есть, какие мероприятия проводить, как упорядочить ресурсы. И вот для упорядоченной системы разрабатывать модель, набор технических мер и пр. Реально это затягивается года на 2-3 в идеале (по выделению финансов) Поэтому без разбивки на этапы всё устареет до начала работ |
Просмотров темы: 681