Масштабирование аттестованой ИС - Форум по вопросам информационной безопасности

Добрый день уважаемые коллеги!
Имеется аттестованная ИС по К3 ГИС. Подскажите каким ГОСТом или НМД определчется процедура масштабирования ИС, то бишь добавления нового АРМ в состав аттестованной ИС?
Естественно обращался в организацию, проводившую аттестацию, и они согласуют изменения. Но ни они, ни еще знакомые ИБшники не смогли дать ответ в каком документе описана процедура шасштабирования ИС.
Кстати второй вопрос: в 17 приказе не увидел необходимости согласовывать изменения в составе ИС с аттестатором. Оператор может самостоятельно вносить новые АРМ в аттестованную ИС по 17 приказу?

to Berg
Если АРМ в ГИС аттестован как типовой, то никаких проблем нет при добавлении полностью аналогичного АРМ (типовое железо, аналогичный набор софта, неизменность работы с ИОД)...
Если не как типовой, то на усмотрение лицензиата, проводившего аттестацию. 17 Приказ говорит, что при изменении состава ИС (включая добавление/изъятие железа, софта, технологий) или изменении логики работы ИС, требуется пересматривать классификацию ИС и актуализировать УБИ заново. Лицензиат может провести оба пункта (вернее, классификацию проводит владелец/оператор ИС, подтверждая или опровергая присвоенный класс - в вашем случае К3 - но лицензиат обычно готовит "рыбу" за владельца). И на основании выводов решить, нужна ли повторная аттестация. В контексте 17 Приказа "масштабирование" = изменение "покрытия" ИС с "объектового масштаба" на, допустим, "региональный". Если вы имели в виду именно это (добавление территориально удаленного АРМ, обслуживающего новый объект, к существующей объектовой ИС), то классификация может измениться (см. таблицу в 17 Приказе), что потребует как минимум выполнение новых требований безопасности со всеми вытекающими...
imho, при прочих равных добавить 1 или несколько АРМ, не изменяя условия эксплуатации ИС (включая организационные меры, размещение АРМ относительно КЗ и т.д. и т.п.), характер обрабатываемой ИОД (значимость по К, Ц или Д) и масштаб ИС (объектовая, региональная, федеральная), + повторно аттестовать такую ИС = еще раз освоить денежные средства, выданные на модернизацию, ага...

ЗЫ И да, если ИС аттестована после 28.05.2019, то аттестат на нее бессрочный (либо его может отозвать лицензиат при выявлении явных нарушений условий эксплуатации ИС). Повторная аттестация не проводится - разрабатываются компенсирующие меры, которые подтверждаются лицензиатом (причем любым, не обязательно тем же) в форме, например, периодического контроля эффективности принятых мер защиты...