Автор: Сергей, ИнфоЦентр | 109171 | 09.04.2021 15:10 |
Добрый день, коллеги.
1. Какие мероприятия необходимо проводить при периодическом контроле за обеспечением уровня защищенности информации, содержащейся в государственной информационной системе (пункт 18.7 17 приказа ФСТЭК России)? 2. Какой документ оформляется по окончанию работ (протокол/акт)? 3. Что делать в тех случаях, если в БДУ появились новые угрозы, а в частной модели угроз их нет (во время ее написания их еще не существовало)? 4. Что делать, если Оператор ИС хочет изменить состав ОТСС в аттестованной ИС? Надеюсь на Ваш исчерпывающий ответ. Спасибо. |
Автор: oko | 109172 | 09.04.2021 19:06 |
to Сергей
1. Проверять, что ИС выполняет требования (те, которые конкретно для этой ИС прописаны), класс не изменился, требования не изменились (и те, которые для ИС по результатам проектирования; и те, что базовые из 17 Приказа в случае его изменения регулятором, например), угроз не добавилось/не актуализировалось, модернизация не произошла и т.д. 2. Если самостоятельно, то в произвольной форме (рекомендуется Акт от ранее назначенной комиссии). Если с лицензиатом (рекомендуется) - узнавайте у лицензиата. 3. Как бэ ясно, что перерабатывать Модель (что и без того нужно периодически делать), рассматривать новые угрозы для своей ИС, делать выводы, при необходимости модернизировать КСЗИ и проводить новую оценку защищенности. 4. Оператору следует связаться с лицензиатом, выдавшим Аттестат соответствия. А для начала заглянуть в текущий Аттестат (и Предписание на эксплуатацию, если есть) и подумать, нарушают ли его хотелки условия действия текущего Аттестата. ЗЫ Вы б хоть форум почитали для начала. Большинство вопросов уже неоднократно обсуждалось... |
Автор: Сергей, ИнфоЦентр | 109173 | 10.04.2021 15:34 |
to oko
Добрый день. Спасибо за ответ. 3. Модель угроз правильно обновляется каким-то актом дополнения модели угроз или же можно просто раработать и утвердить новую МУ, в замен прошлой? речь об аттестованной ИС |
Автор: oko | 109174 | 10.04.2021 17:44 |
to Сергей
Зависит от масштаба изменений. Или, например, от необходимости переработать ЧМУ под новые нормативы регулятора (к примеру, под новую Методику оценки УБИ 2021)... Если формат и принцип формирования ЧМУ не изменяется, а новые рассмотренные УБИ не затрагивают пластов описания ИС, предусмотренных предыдущей ЧМУ, то вполне допустимо и каким-либо актом с дополнениями. Чего зря бумагу переводить? Куда веселее, когда новые УБИ оказываются актуальными и, внезапно, требуют переработки всей или части реализованной КСЗИ... |
Просмотров темы: 920