Переустановка ОС на аттестованной ИС (17 приказ ФСТЭК) - Форум по вопросам информационной безопасности

Добрый день, коллеги.

Столкнулись с необходимостью переустановки (обновлению Windows 7/8 -> 10) ОС на АРМ, которые входят в аттестованную по требованиям 17 приказа ФСТЭК информационную систему.

Методы обработки данных не изменились. СрЗИ не изменились (только заново установливается). Может быть обновляется сразу версия СрЗИ.

Считается ли корректным уведомление и согласие лицензиата о проделанных работах без необходимости проведения доп.испытаний/переаттестации ИС?

Может кто со ФСТЭКом такие вопросы согласовывал или проходил проверки после таких действий.

Интересует момент как со стороны оператора ИС, так и со стороны лицензиата.

to Денис
Если лицензиат, выдавший Аттестат, дал добро - с вас взятки гладки, поскольку именно он принял на себя ответственность (ограниченную определенными рамками, но все же)...
но... при любой проверке (и, в целом, это правда) можно заявить, что изменение ОС (вообще и конкретно на Win10) порождает новые каналы утечки, новые уязвимости, новые угрозы безопасности и вообще требует как минимум переработки Модели угроз со всеми вытекающими + подтверждения (раз уж ГИС, т.е. работы по безопасности требуют оценки и контроля со стороны именно лицензиата) корректности изменения ОС и установки/настройки СЗИ повторно...
Так что для успокоения совести (если она истинно верит, что замена ОС в конкретной ГИС ничего, кроме замены ОС и обновления версий СЗИ, не несет), imho, следует пересмотреть Модель угроз, подтвердить соответствие техпроекту и неизменность техпроцесса каким-нибудь Актом и, желательно, вот это все завизировать у лицензиата (лучше всего в форме контроля эффективности принятых мер защиты - не путать с аттестацией). Так оно меньше геморроя в будущем принесет, ага...

пр.17 ...18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:
...анализ угроз безопасности информации в информационной системе;
управление (администрирование) системой защиты информации информационной системы;
управление конфигурацией информационной системы и ее системой защиты информации;
...контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.
и т.д...расписано же и проверено при аттестации!??