Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как защищать ИС, которая не является государственной? - Форум по вопросам информационной безопасности

Как защищать ИС, которая не является государственной? - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Genilya, 123 | 107891 25.02.2020 21:24
Приветствую коллеги!Подскажите, как защищать ИС, которая не являетя государственной(не ГИС), но в которой ведется обработка КИ(без обработки ПДн)?

Автор: Genilya, 123 | 107892 25.02.2020 22:14
Обязательно ли аттестовывать такую ИС и какие СЗИ применять, сертифицированные или нет?

Автор: oko | 107894 25.02.2020 22:31
to Genilya
Если владелец/оператор ИС гос.организация (вплоть до ФГУП, ГАУ и проч.), то рекомендую еще раз уточнить статус. Конечно, если ведомство, под которым организация "ходит", официального решения не принимает, это снимает ответственность с организации, но... ведомство может свою позицию и поменять внезапно, ага...
В остальном, смотря что понимается под КИ. Если коммерческая тайна (читай, владелец/оператор ИС - чисто коммерческая контора), то можно по СТР-К, который не отменен и носит рекомендательный характер. Условия аттестации, использования СЗИ и сроки проведения работ - все в нем указано, ищите...
Если случай вообще "пограничный" (читай, коммерсант, имеющий гос.заказы, и обрабатывающий их в этой ИС) - настоятельно рекомендуется действовать по 17 Приказу ФСТЭК России. И в таком случае, imho, проще его положения (аттестация, СЗИ, порядок разработки и ввода в эксплуатацию и т.д.) выполнить в полном объеме, чем потом кому-то что-то доказывать...

Автор: Genilya, 123 | 107897 26.02.2020 08:07
С КТ понятно, в организации сами определяют, как защищать.Если у частника есть госконтракт, то требования прописаны(должны быть прописаны)в нем и тут частично понятно(не понятно, когда требования забыли прописать в ГК). СТР-К носит рекомендательный характер, значит его требования не обязательны к выполнению, но защищать надо и вопрос, как остался...Например НМД регламентирующий дсп отсутствует, 1233 только для определенных организаций, к которым частника не отнести...Если рассмотреть ПДн там тоже интересно, в 21 приказе ФСТЭК нет понятия аттестация. И как защищаться?

Автор: oko | 107900 26.02.2020 12:43
to Genilya
КТ защищается на усмотрение владельца. Хочет так - применяет СТР-К (в полном объеме), хочет эдак - 17 Приказ (в полном объеме), хочет иначе - пишет свой документ с преферансом и куртизанками. Суть в том, что в первых двух случаях единственным подтверждением эффективности принятых мер защиты будет проведение аттестационных испытаний. И тут уже вопрос взаимодействия с лицензиатом (особенно в случае "самопального" документа, ага)...
С ПДн все любопытнее. Аттестации нет, но есть раз-в-три-года контроль, который суть то же самое. Изменяется форма, облегчаются условия эксплуатации (как минимум, не будет Аттестата, в котором жестко указан перечень ТС и ПО). В остальном, опять-таки зависит от договоренности владельца/оператора и лицензиата. И вменяемости проверяющих позже (но это уже другой вопрос). Поэтому зачастую все-таки проводится полноценная аттестация, чтобы не путаться и не мудрить...
С ДСП боль-беда, да. Но это меньшее из всех зол, как ни крути...

Автор: Genilya, 123 | 107919 28.02.2020 07:53
ДСП боль беда, а защищать надо, но даже в ПП 1233, четко не сказано, как защищать ИС в которой обрабатывается ДСП...получается , что тоже либо стр-к либо 17?

Просмотров темы: 489

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*