Проверка ФСТЭК - Форум по вопросам информационной безопасности
Проверка ФСТЭК - Форум по вопросам информационной безопасности
| Автор: B. Beccer | 109136 | 01.04.2021 17:19 |
|
Приветствую коллеги, в организации планируется проверка ФСТЭК.
Подскажите что будут проверять, на что акцентировать внимание, какие нпа смотреть и как это все происходит. Какие последствия могут быть. Добавлю что мы госорган, обрабатываем ПДн, обязанности адм безопасности и обеспечения безопасности ПДн на сис админах, проверка как я понимаю внеплановая (в плане не нашли). |
|
| Автор: Денис | 109140 | 02.04.2021 17:52 |
|
Вопрос, мне кажется, больше к Вашему лицензиату (у Вас же аттестована система? Испдн/гис/мис?).
Правила и процедуры срзи, матрицы доступа, описание техпроцесса, акты классификации, техпроект системы защиты информации, установленные сзи, сертификаты их действительные должны быть. Приказы сразу подготовьте, где назначаются администраторы безопасности. Вообще следуйте мерам защиты и все будет ок. Грозит - в худшем случае коап. Может кого уволят после этого. В лучшем - месяц-два на устранение недочетов. |
|
| Автор: B. Beccer | 109142 | 03.04.2021 10:39 |
|
На ИСПДн одно рабочее место аттестовано, хотя по факту в этой системе работают с гораздо большего количества мест. Средства не выделяют на дополнительную аттестацию, а работать с одного рабочего места это не возможно
|
|
| Автор: B. Beccer | 109143 | 03.04.2021 10:40 |
|
Правильно понимаю, что прилетит нашим админам в случае чего
|
|
| Автор: oko | 109145 | 04.04.2021 10:50 |
|
to B.Beccer
Прилетит всей организации в целом через ее непосредственного руководителя. Дальше уже прилетит руководителям подразделений, отвечающих за обработку ПДн. И вашим безопасникам, если такое подразделение имеется... Если под админами имеете в виду обычных системных администраторов, которые каким-то левым приказом заимели честь стать "администраторами безопасности ИСПДн" (с обязательным уведомлением под роспись, дополнениями к внутреннему регламенту и должностным обязанностям и т.д., и т.п.), то модуль экстрасенсорики подсказывает, что руководство скинет всех собак именно на них. Хотя системный администратор к защите ИСПДн по умолчанию имеет скорее косвенное, чем прямое отношение. А подобный подход (с собаками и приказами) - практика порочная и неверная в корне... |
|
| Автор: Vlad | 109150 | 05.04.2021 22:17 |
|
Перед проверкой, ФСТЭК, как правило, заранее направляет перечень документов, которые необходимо предоставить/подготовить. Перечни документов в рамках СТР-К, Приказов 17 и 21, положений по лицензированию (если проверяют соблюдение лицензионных требований) и других документов ФСТЭК. Нужно максимально полно и даже более, собрать все эти документы, а если доков нет в наличии, то оперативно оформить/подписать/утвердить. Иначе, придётся всё делать прям в процессе проверки, чтобы хоть как-то смягчить предписание.
Если проверка внеплановая, то, скорее всего, будут проверять серьёзно, т.е. одной лишь документальной проверкой не обойтись. Готовьтесь к тому, что в сеть с аттестованной ИС будут запускать сканер безопасности (например, "Сканер-ВС", "XSpider" или т.п), будут выборочно проверять настройки СЗИ на АРМах, серверах, будут проводить опросы админов/пользователей. Если протухла лицензия на какой-нибудь SecretNet, не обновлены базы сигнатур на антивирус, на аттестованном АРМе в реестре WIndows обнаружилась подключенная флэшка, не внесённая к перечень разрешенных отделяемых носителей, то готовьтесь к замечанию. Забыли про 2-х-факторную авторизацию - замечание. Не назначили админов (системных, ИБшных) - замечание. Не оформили матрицу доступа, разрешительную систему допуска исполнителей - замечание. Обрабатываете конфу и нет аттестованной АС (автономного АРМа) для этого - замечание. Не учли конфиденциальный документ соответствующим порядком, не поставили на нём штампик и не обеспечили надёжное хранение - замечание. Не проверили обучение пользователей, повышение осведомлённости по вопросам ИБ - замечание. Протухли сертификаты соответствия на СЗИ или нет техподдержки на СЗИ - замечание. В общем как-то, на деле всё ещё хуже, само собой. Спецы в ФСТЭК пошли грамотные (и это радует, честно), много молодёжи, которая технически подкована. Это не как раньше, когда проверяли в основном документы, а техническая сторона дела отходила на второй план. |
|
| Автор: ASCII, webim.ru | 109176 | 12.04.2021 13:20 |
|
Коллеги, подскажите пожалуйста, как заставить организацию соблюдать требования ФЗ-152 в частности. Компания предоставляет продукт обрабатывающий пдн. Никакой сертификации не прошла. Процессов иб нет как класса,
|
|
| Автор: Alex_kl | 109177 | 12.04.2021 14:01 |
|
Автор:
ASCII, webim.ru А что есть продукт этой компании? Голое приложение, в котором кто-то будет что-то обрабатывать? Тогда никак, ответственность за обработку и защиту ПДн - на операторе, а не на разработчике (разве что не покупать их продукт). Если она у себя обрабатывает с нарушением законодательства - Роскомнадзор/прокуратура/суд |
|
| Автор: Денис | 109178 | 12.04.2021 16:23 |
|
Соглашусь с Alex_kl и добавлю:
если организация не гос орган - забудьте и простите. |
|
Просмотров темы: 1172
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"