Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности
Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности
Страницы: < 1 2 3 4 5 6 7 8 9 10 >
| Автор: ААА | 111300 | 23.01.2024 12:15 |
|
Здравствуйте!
Подскажите пожалуйста, по каким руководящим документам необходимо аттестовывать ЦОД для размещения в нем ГИС по состоянию на сегодняшний день. |
|
| Автор: Влад | 111302 | 24.01.2024 16:19 |
|
to AAA
ЦОД аттестовывается также, как и ГИС, по приказу ФСТЭК №17. При аттестации не забудьте, что класс защищенности ГИС не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры ЦОД (п.14.2 приказа 17 ФСТЭК). |
|
| Автор: ААА | 111303 | 24.01.2024 17:19 |
|
А как же приказ ФСТЭК № 77? Суть моего вопроса вот в чём: какой пакет документов готовить для Лецинзиата и по каким образцам? Подскажите пожалуйста.
|
|
| Автор: oko | 111304 | 24.01.2024 23:25 |
|
to AAA
Если чисто под аттестацию, то все четко по Приказу 77. В минималке: ТЗ на КСЗ ЦОД (согласованное с нужными регуляторами), Модель угроз и нарушителей ЦОД (согласованная с нужными регуляторами), Акт классификации и Техпаспорт по форме Приказа 77. В максималке - то, о чем договоритесь с лицензиатом и зафиксируете в ПиМ аттестационных испытаний... И весь ЦОД, пожалуй, будет больно жирно, муторно и дорого (как минимум с позиции последующей поддержки) подводить и, соответственно, аттестовать по тому же Приказу 17. Да и смысла не имеет, если только ГИС не отожрется со временем до поглощения ресурсов всего ЦОД, ага... |
|
| Автор: ААА | 111306 | 25.01.2024 11:39 |
|
Понял, спасибо за информацию. А можно аттестовать ЦОД для последующего размещения в нём ГИС, если на данный момент в нём нет обрабатываемой информации. И как это сделать, если это вообще возможно? Я так понимаю, что определенные компании это практикуют.
|
|
| Автор: Практик | 111307 | 25.01.2024 14:49 |
|
2 ААА
Формально, аттестовать ОИ надобно до размещения в нём "боевой" (то есть защищаемой) информации. Просто потому, что аттестация и подтверждает достаточность применяемых мер её защиты. А это значит, что отклассифицирована она уже должна быть, а вот "заливать на серверы" нельзя. Естественно, в жизни эти процессы растягиваются))) Но "доколоться можно и до столба", особенно, если эта ИС пока не имеет части документов от вышестоящей организации, например, ТЗ на присоединение в части ЗИ |
|
| Автор: ААА | 111308 | 25.01.2024 16:32 |
|
Это все понятно и логично, а юридически правильно или нет, вот в чем вопрос. А ещё интересует вопрос, если в ИС обрабатывается информация ограниченного доступа и персональные данные, как проводить аттестацию ОИ, по каким критериям.
|
|
| Автор: Влад | 111309 | 26.01.2024 08:41 |
|
to AAA
>>>А как же приказ ФСТЭК № 77? А причём тут Приказ ФСТЭК 77? Почитайте внимательно п.3 Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (приложение к Приказу № 77), там написано на что он распространяется. Если Вам мало приказа №17, то есть ещё ГОСТ РО 0043-003-2013. |
|
Прошло около недели
| Автор: sekira | 111327 | 05.02.2024 11:43 |
|
ГОСТ РО 0043-003-2012 - с 01.09.2022г. отменен без замены.
|
|
| Автор: Влад | 111329 | 05.02.2024 14:32 |
|
>>ГОСТ РО 0043-003-2012 - с 01.09.2022г. отменен без замены.
Есть официальная ссылка на ресурс со статусом стандарта? Документ довольно серьёзный, аналогов ему нет, не верится, что он отменён. Приказ 77 не покрывает того, на что распространялся ГОСТ РО 0043-003-2012. |
|
Страницы: < 1 2 3 4 5 6 7 8 9 10 >
Просмотров темы: 17116
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"