Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

Было уведомление от ФСТЭК. ГОСТ РО 0043-003-2012 отменен, если быть точнее с 01.06.21г. в связи с вводом нового порядка по аттестации.

На сайте ФСТЭК России нашёл Информационное сообщение ФСТЭК России от 29 апреля 2021 г. N 240/24/2087, в котором говорится:

<<<В связи с вступлением в силу Порядка аттестации с 1 июня 2021 г. при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, не применяются следующие документы:

Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.;

Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. N 3;

ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации;

ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения.>>>

Для защиты конфиденциальной информации, не гостайны, ГОСТ РО 0043-003-2012 силы не утратил, как я понимаю.

to Влад
Даже если регулятор *вырезано* не помнит про собственные документы */вырезано* не отменил указанный набор ГОСТ 0043, это не значит, что ими имеет смысл руководствоваться. В сущности, ГОСТ ПиМ почти полностью заменен Приказом 77 (вернее, противоречит описанию ПиМ по Приказу 77). А ГОСТ АТТ с общими положениями устарел лет 5 назад (да и Приказ 77 в совокупности с конкретными Приказами под конкретный тип ОИ перекрывают его с головой)...
И да, к вопросу о неиспользовании Приказа 77 при аттестации какого-либо "нетипового" ОИ (те же ЦОД, АС КОНФИ и т.п.). Есть инфосообщение от 2 сентября 2021 г. N 240/24/4303 - читай, если собрались именно аттестацию проводить, то будьте добры согласно Приказу 77 за вычетом пунктов об уведомлении и передаче материалов во ФСТЭК, включая материалы по периодическому контролю. Что, imho, глупость из разряда "тут аттестация, а тут рыбу заворачивали", ага...

ЗЫ Дежа вю. Где-то на форуме уже всецело эта тема обсуждалась...

>>>не отменил указанный набор ГОСТ 0043, это не значит, что ими имеет смысл руководствоваться

Тем не менее, ГОСТ РО 0043-003-2012 по-прежнему должен быть у лицензиата ТЗКИ согласно Перечню технической документации, национальных стандартов и методических документов от 12 августа 2020 г. по ПП-79 и лицензиат при выполнении работ и/или оказании услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации должен руководствоваться этим ГОСТ'ом.

В любом случае, официальной отмены ГОСТ РО 0043-003-2012 для ТЗКИ не было и для аттестации ОИ, не упомянутых в Приказе 77 ФСТЭК, этот ГОСТ формально обязателен.

P.S. К сожалению, я пропустил из вида ранее обсуждаемую тему.

Формально, как раз, либо ГОСТ для всех (и никто обиженным не уйдет, ага), либо ни для кого. Потому что еще раз внимательно к прошлому инфосообщению: при проведении именно "аттестации" любого ОИ-не-ГТ руководствоваться именно Приказом 77 (читай, приведенными в нем порядком, формой и содержанием). Что (форма и содержание), кстати, во многом противоречат упомянутым ГОСТ. Которым, пожалуй, можно руководствоваться только в общих чертах и для общего образования...
Поэтому, imho, нечего натягивать документы 2012/2013 г.в. на текущие реалии и пытаться их героически скрестить - только хуже будет...
Что же до перечня НПА для лицензиатов ТЗКИ, так в нем и СТР-К есть с его давно известным стремным статусом. И, например, отсутствуют недавно введенные в силу Требования к СУБД, к виртуализации, к контейнерам и даже Методика моделирования УБИ за 2021 г. Это теперь развязывает руки лицензиату и позволяет ими не руководствоваться в своей работе? Глупости. Так что апелляция к оному перечню не может и не должна рассматриваться как истина и необходимость...