Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

от 29 апреля 2021 г. № 77
Один ньюанс.
3. Настоящий Порядок распространяется на аттестацию на соответствие требованиям по защите информации (далее - аттестация) следующих объектов информатизации:
- государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;

Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:
- информационных систем персональных данных информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);

Обязательность аттестации ИСПДн в государственных и муниципальных органах?! по 21 и 17 ?!

to sekira
imho, органы органами, но указано исключительно про ГИС и ГИС-ИСПДн. Про статус "ГИС" и его обязаловку/необязаловку Приказ 77 ничего не говорит. Так что по-прежнему "белое пятно"...
А в остальном, модуль экстрасенсорики подсказывает, что кто-то от регулятора читает-таки форум и делает выводы - была уже тема, где долго обсуждали, остается ли ГИС ГИСом, если в ней в качестве ИОД только ПДн, и нужно ли такую ГИС подвергать аттестационным испытаниям...

to oko

Даже если в ГИС нет ИОД, ее все равно надо аттестовывать. Это определено в ППр №676.
Плюс в законе 149-ФЗ сказано, что "Государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе, доступ к указанной информации в случаях и в порядке, предусмотренных законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий".

to WORM
Primo, Постановление 676 распространяется в обязаловке только на ФОИВ и лишь рекомендуется для иных органов...
Secundo, все фактические ИБ-требования к ГИС пока что упираются в Приказ 17 ФСТЭК России, в котором есть п. 2 раздела 1, который явно говорит о случае с ИОД. Там, конечно, рекомендация для "общедоступной информации" тоже имеется...
Tertio, формулировка из 149-ФЗ не обязывает проводить именно аттестацию (что логично, ибо ФЗ) и отправляет нас к подзаконным актам, в которых...
Last, короче, все держится на рекомендациях и мнении конкретного регулятора в конкретный момент времени. В том числе и в вопросе "является ли любая инфосистема в гос.органах ГИС". Как всегда, ага...

Это так, мысли вслух. Но хочу уточнить, что в моем ответе тов. sekira речь шла о проблеме отнесения к ГИС в обязаловке любых ИС в гос./мун. органах. И о том, что случай хитрых исполнителей/заказчиков, рассматривающих ИС в гос.органе как ИСПДн, умышленно уходя от ГИС и обязаловки аттестации, не единичен...

Коллеги, а что слышно про Приказ ФСБ по криптухе для ГИС? Так и помер проект или есть шанс его ввода в действие до конца года? gov.ru смотрел, но так и не понял, каков статус - срок экспертизы вроде уже прошел...

"Постановление 676 распространяется в обязаловке только на ФОИВ и лишь рекомендуется для иных органов..."
обязательны и для органов исполнительной власти субъектов Российской Федерации,
п.3 постановления и п. 1 самих требований.

to MAB
Спасибо, буду внимательнее...
С другой стороны, что им мешало в п. 2 указать про ФОИВ и ОИВ субъектов РФ, а в п. 3 рекомендовать иным органам? И не было бы путаницы и накладки...
Это даже круче чем в "букваре": п. x - нельзя, п. x+1 - если надо, то можно, п. х+2 - в принципе, можно...

Созрел вопрос из плоскости "сферического коня в вакууме". Положим, имеем некоммерческую систему, не значащуюся в реестрах ГИС какого-либо уровня. Но требования ИБ на нее натянули по Приказу 17 (не СТР-К же юзать), благополучно защитили и провели аттестацию (в рамках "рекомендательного характера"). Через некоторое время ОИВ переобувается и вносит систему в реестр местных ГИС. Как поступаем? ТЗ на создание системы в первичном виде мало того, что не подготовлено для согласования с регуляторами, так и устарело уже. ЧМУ, понятное дело, все равно актуализируется со временем, но теперь тоже должна направляться регуляторам для согласования?

Уважаемые коллеги! По возможности поделитесь опытом.
Согласно п.15.а 77 Приказа в процессе аттестации проверяется состав и содержание эксплуатационной документации на систему защиты информации ОИ. Пункт 11.е также требует предоставление в орган по аттестации соответствующей документации.
Состав и содержание эксплуатационной документации для системы защиты информации ОИ являющегося ГИС определяется в ТЗ на систему защиты информации, проектной документации, ну и наконец ведомость ЭД. В ГИС все понятно что да как с учетом каких ГОСТ и т.д.
Не понятен вопрос с ИСПДн. Я понимаю, что все должно быть аналогично с ГИС, но конкретные требования 21 приказ в этом вопросе не предъявляет. Да, есть требование создать систему защиты, но отсылки на учет требований ГОСТ нет. Как быть?
Где взять конкретный перечень ЭД для ИСПДн который требуется. Техническое задание па систему защиты информации и проектирование ее для ИСПДн некоторые не делают. И в приказе - "в случае их разработки в ходе создания ОИ" трактовать можно как - нам это не обязательно!
Выручайте! Я запутался.
Пробую реализовать для себя типовую методику и встал на проверке состава и качества (содержания) ЭД.

Конкретный перечень ЭД для ИСПДн вы согласуете с органом по аттестации по результатам предварительной проверки ИС и закрепляете в Программе и методиках ат_исп ИС. Так устроена документация по СЗИПДн в ИСПДн что конкретики нет оператор сам реализует организационные функции СЗИ в документах по своему желанию.

2 all

Есть инфа, что ГИСы, которые были аттестованы по старым правилам (на три года), можно заново не аттестовывать, если выполняются требования 17 Приказа ФСТЭК, в частности п.18.7

Может кому-нибудь будет полезно!

... можно заново не аттестовывать, при окончании срок действия аттестата, если выполняются...