Добрый день!
Возникла необходимость создания и аттестации соответствия требованиям безопасности информации следующей информационной системы:
1. ИС будет являться ГИС и ИСПДн.
2. Технически ИС будет расположена на двух физических адресах: виртуальная машина на сервере нашей организации, собирает и обрабатывает ПДн, и сервер сторонней организации с определенным комплексом ПО, который мы арендуем. Комплекс ПО подхватывает с нашего сервера ПДн и выполняет необходимые нам действия. Комплекс арендодателя уже существует и работает, возможно, скорее всего, он уже аттестован.
Встает вопрос: каким образом нам выполнить требования 17 приказа ФСТЭК и провести аттестацию системы? Возможно ли это? Интересует, какими правовыми актами будет регламентироваться защита информации в такой ГИС.
