Как защищать ИС, которая не является государственной? - Форум по вопросам информационной безопасности
Как защищать ИС, которая не является государственной? - Форум по вопросам информационной безопасности
| Автор: Genilya, 123 | 107891 | 25.02.2020 21:24 |
|
Приветствую коллеги!Подскажите, как защищать ИС, которая не являетя государственной(не ГИС), но в которой ведется обработка КИ(без обработки ПДн)?
|
|
| Автор: Genilya, 123 | 107892 | 25.02.2020 22:14 |
|
Обязательно ли аттестовывать такую ИС и какие СЗИ применять, сертифицированные или нет?
|
|
| Автор: oko | 107894 | 25.02.2020 22:31 |
|
to Genilya
Если владелец/оператор ИС гос.организация (вплоть до ФГУП, ГАУ и проч.), то рекомендую еще раз уточнить статус. Конечно, если ведомство, под которым организация "ходит", официального решения не принимает, это снимает ответственность с организации, но... ведомство может свою позицию и поменять внезапно, ага... В остальном, смотря что понимается под КИ. Если коммерческая тайна (читай, владелец/оператор ИС - чисто коммерческая контора), то можно по СТР-К, который не отменен и носит рекомендательный характер. Условия аттестации, использования СЗИ и сроки проведения работ - все в нем указано, ищите... Если случай вообще "пограничный" (читай, коммерсант, имеющий гос.заказы, и обрабатывающий их в этой ИС) - настоятельно рекомендуется действовать по 17 Приказу ФСТЭК России. И в таком случае, imho, проще его положения (аттестация, СЗИ, порядок разработки и ввода в эксплуатацию и т.д.) выполнить в полном объеме, чем потом кому-то что-то доказывать... |
|
| Автор: Genilya, 123 | 107897 | 26.02.2020 08:07 |
|
С КТ понятно, в организации сами определяют, как защищать.Если у частника есть госконтракт, то требования прописаны(должны быть прописаны)в нем и тут частично понятно(не понятно, когда требования забыли прописать в ГК). СТР-К носит рекомендательный характер, значит его требования не обязательны к выполнению, но защищать надо и вопрос, как остался...Например НМД регламентирующий дсп отсутствует, 1233 только для определенных организаций, к которым частника не отнести...Если рассмотреть ПДн там тоже интересно, в 21 приказе ФСТЭК нет понятия аттестация. И как защищаться?
|
|
| Автор: oko | 107900 | 26.02.2020 12:43 |
|
to Genilya
КТ защищается на усмотрение владельца. Хочет так - применяет СТР-К (в полном объеме), хочет эдак - 17 Приказ (в полном объеме), хочет иначе - пишет свой документ с преферансом и куртизанками. Суть в том, что в первых двух случаях единственным подтверждением эффективности принятых мер защиты будет проведение аттестационных испытаний. И тут уже вопрос взаимодействия с лицензиатом (особенно в случае "самопального" документа, ага)... С ПДн все любопытнее. Аттестации нет, но есть раз-в-три-года контроль, который суть то же самое. Изменяется форма, облегчаются условия эксплуатации (как минимум, не будет Аттестата, в котором жестко указан перечень ТС и ПО). В остальном, опять-таки зависит от договоренности владельца/оператора и лицензиата. И вменяемости проверяющих позже (но это уже другой вопрос). Поэтому зачастую все-таки проводится полноценная аттестация, чтобы не путаться и не мудрить... С ДСП боль-беда, да. Но это меньшее из всех зол, как ни крути... |
|
| Автор: Genilya, 123 | 107919 | 28.02.2020 07:53 |
|
ДСП боль беда, а защищать надо, но даже в ПП 1233, четко не сказано, как защищать ИС в которой обрабатывается ДСП...получается , что тоже либо стр-к либо 17?
|
|
Просмотров темы: 1087
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"