Аттестация ИСПДн, размещенной в стороннем аттестованном ЦОД - Форум по вопросам информационной безопасности

Доброго дня, коллеги!
Кто то может подсказать как мы можем аттестовать ИСПДн, которая будет разворачиваться на арендованном и уже аттестованном оборудовании в ЦОДе сторонней организации?

немного не понятно как это сделать, учитывая то, что ЦОД уже аттестован? мы аттестационных документах должны ссылаться на аттестат ЦОДа, тем самым обосновывая отсутствие необходимости в тех или иных СЗИ?

to МАКС
imho, главное: класс/уровень, не противоречащий общей классификации ИС; актуальность используемых мер/средств защиты в "аттестованной" части ИС; непротиворечивость выводов Модели угроз по всей ИС в целом...
Так-то новые СЗИ и аттестационные испытания для "сегмента" ИС, который связан с ЦОД, внедряются и рассматриваются в совокупности с мерами/средствами ЦОД, но, зачастую, только в вопросах взаимодействия "сегмент - ЦОД". Что там дальше в ЦОД происходит - проблема оператора и лицензиата-выдавшего-аттестат. Если, конечно, они не оказались настолько хитрецами, что учли возможные проблемы и расписали границы ответственности (границы моделирования, границы защиты) так, что теперь вся головная боль ушла в "сегменты". Бывает и такое...
Так что для начала рекомендую почитать атт.документы + Модель + Техпроект по ЦОД, а дальше уже думать и разбираться со своим(ими) сегментами, ага...

И да, у вас два варианта. Либо ИСПДн имеет сегментированную структуру: ЦОД и, например, группа удаленных раб.мест или взаимосвязанных инфраструктур. Либо под ИСПДн вы понимаете чисто программную реализацию + базу данных чего-то там, развернутого в ЦОД...
Для первого случая см. выше...
Для второго надо обязательно смотреть, что же там прописано в этом "аттестате соответствия ЦОД". Насколько он подходит к случаю вашей ИСПДн. Какие вопросы и проблемы (читай, угрозы и требования) закрывает. Что там с ответственностью сторон и, главное, с вопросами удаленного и локального управления/администрирования, включая администрирование внедренной КСЗ...

А если стоит задача аттестовать ИСПДн, которая развернута на базе ЦОД, для которого проводилась оценка эффективности, а не аттестация. Такую ИСПДн вообще возможно аттестовать?