Аттестация АРМ - Форум по вопросам информационной безопасности

Имеется автоматизированное рабочее место, обрабатывающее конфиденциальную информацию.

По своим признакам, оно не подходит под действие приказа ФСТЭК №77 от 29.04.2021... (пункт 3 Приказа).

Ему можно присвоить класс 1Г, в соответствии с РД Гостехкомиссии.

Требуется его аттестовать по требованиям безопасности. И возникает вопрос - в соответствии с какими нормативными документами это нужно делать?

> Требуется его аттестовать по требованиям безопасности. И возникает вопрос - в соответствии с какими нормативными документами это нужно делать?

Приказом ФСТЭК России от 29.04.2021 № 77 утвержден "Порядок организации и проведения работ по аттестации ОИ...". На сегодняшний день иных порядков (!) процедуры оценки соответствия в форме аттестации данным регулятором для ОИ не предусмотрено.
Стоит обратить внимание, что в Порядке роль и участие регулятора сильно "привязано" к процедуре аттестации. Как неоднократно отмечал начальник управления ФСТЭК России Д.Н. Шевцов с целью проверки выполнения лицензиатами работ по аттестации и повышения качества этих работ.

Ну, можно ещё рассмотреть аттестацию АРМ на соответствие нормам охраны труда. Правда сей термин устарел и его новое название "специальная оценка условий труда". Но для большинства это осталось аттестацией...

> Имеется автоматизированное рабочее место, обрабатывающее конфиденциальную информацию.
> По своим признакам, оно не подходит под действие приказа ФСТЭК №77 от 29.04.2021... (пункт 3 Приказа).
> Ему можно присвоить класс 1Г, в соответствии с РД Гостехкомиссии.

Пункт 3 Порядка, утвержденного приказом ФСТЭК России от 29.04.2021 № 77, указывает на какие виды ОИ данный порядок распространяется. Т.е. в отношении каких ОИ он (имеется в виду именно порядок) обязателен: "Настоящий Порядок распространяется на аттестацию...".
Обязательность проведения аттестации ОИ относятся не к порядку этой процедуры, а к требованиям для защищаемого вида информационных систем. Например для государственных ИС это Требования, утвержденные приказом ФСТЭК России от 11.02.2013 № 17.
Т.е. первичными является не пункт 3 Порядка, требования к ОИ:
- если АРМ обрабатывает конфиденциальную информацию, на которую регулятор выпустил требования с обязательной аттестацией, то вне зависимости присвоенного класса защищенности основным (в терминологии регулятора "базовым") набором мер к нему будут выпущенные требования, которые включают организационные. В частности по проведению аттестации в соответствии с единственным установленным порядком для данной процедуры;
- если же для АРМа и обрабатываемой на нем конфиденциальной информации нет требований со стороны регулятора, то требования по защите информации должны определяться владельцем самостоятельно. Как правило, это делают в техническом задании.

to CM
Все последующее на правах imho и, если ничего не пропустил, то...
Есть сам Порядок (который 77 Приказ), есть инфосообщение регулятора к нему (240/24/4303 за 2021 г.). Нигде ни слова, что этими документами отменяются предыдущие, касающиеся аттестации ОИ с ИОД-не-ГТ (те же КОНФИ-системы, пресловутые АС 1Г/2Б), если такие ОИ явно не прописаны в 77 Приказе (хотя, собственно, и для ГИС/КИИ/ИСПДн/ЗП/АСУТП явно не прописано, но тут как обычно регулятор левой ногой чешет правое ухо)...
А АС под 1Г/2Б в стране дофига + дофига еще будет, пока не переведутся негодяи, предпочитающие игнорировать КИИ/ГИС и классифицировать свои системы как классические КОНФИ-АС или пока хотя бы не изменят формулировку в Постановлении 79 по ТЗКИ, например, ага...
Так что ГОСТ 0043 + СТР-К + старые методы в помощь. И никаких формальных нарушений новых правил игры...

to oko

Высказанное Вами никак не противоречит написанному мной выше. Скорее расширяет.
Изначально вопрос стоял в проведении процедуры аттестации для системы, классифицированной по требованиям РД АС (Гостехкомиссия, 1992). Про "формальные нарушения новых правил игры" речи не было.

Нисколько не возражаю против классификации систем по РД АС. Сам неоднократно пользовался данной классификацией в работе. Процедура аттестации не связана ни с видом классификации системы (ГИС / МИС / ГосИСПДн /ОМСУИСПДн / АСУ ТП) и ни с видом ОИ (система / помещение). Это просто порядок выполнения процедуры аттестации с участием регулятора в ней. Другого порядка процедуры аттестации нет. Если задача состоит в использовании для оценки соответствия именно процедуру аттестации, то надо ориентироваться на Порядок, утвержденный приказом ФСТЭК России от 29.04.2021 № 77.

Классификация системы по РД АС устанавливает класс защищенности АС от НСД к информации. Она может быть не единственной. Одна и таже система пожет быть классифицирована по сколь угодному количеству видов классификаций. И это никак не будет "мешать" процедуре аттестации системы. От классификаций зависит объем реализуемых в системе требований. Если для системы нет установленных регулятором требований (например, для ГИСов или КИИ), то эти требования должны задаваться самостоятельно собственником системы. Как правило, эти требования задают в техническом задании.

Про СТР-К: его статус у многих вызывает вопросы со времени его принятия. Не смотря на то, что в нем прописана аттестация, проводить ее следует в порядке, утвержденном приказом ФСТЭК России от 29.04.2021 № 77. Или, как любят говорить юристы, использовать документ СТР-К в части не противоречащей требованиям установленного порядка.
Документ СТР-К в отличии Приказа от 29.04.2021 № 77 не проходил регистрацию в Минюсте России. В этом его позиции особо уязвимы перед приказом.

Про ГОСТы 0043: они носят рекомендательный характер. Если я ошибаюсь, то прошу дать мне ссылку на нормативный документ, относящий указанные ГОСТы к обязательным. В Порядке, утвержденном приказом ФСТЭК России от 29.04.2021 № 77, содержатся схожие с ГОСТовыми и основные положения по аттестации и требования к документам (например, программе и методикам аттестационных испытаний, технические паспорта). Кроме того, начальник управления ФСТЭК России Д.Н. Шевцов отмечал, что ГОСТы 0043 останутся действующими на некоторый "переходный" период, но потом их выведут.

to CM
Вот когда регулятор официально скажет, что классические КОНФИ-АС нужно проводить по 77 Приказу (не взирая на то, что сам приказ их игнорирует) и что территориальные УФСТЭК будут принимать отчетные документы по таким АС (не взирая на то, что ни Модель, ни ТЗ, ни тем более требования безопасности к таким АС толком не разработаешь в связи с замшелостью СТР-К и РД по отношению к текущей нормативке), вот тогда и поговорим...
Наигрались уже в самодеятельность аля "примени 2008-методику к чему-нибудь-кроме-ИСПДн, а мы посмотрим и оценим", ага...

"что территориальные УФСТЭК будут принимать отчетные документы по таким АС"
Принимают и объекты аттестовываются без видимых проблем, но с белыми пятнами в НМД и юридической стороне вопроса.
Объекты такие обычно у соискателей лицензий ФСТЭК и ФСБ.

to sekira
Т.е. требуху по АС 1Г нового (старого при изменениях) лицензиата высылать теперь не только в отдел лицензирования ЦА, но и в терр.управление по месту размещения для "постановки на учет"? Не сомневаюсь, что отделу лицензирования деваться некуда - про формулировку 79 Постановления правительства уже говорил. А вот что там с терр.управлениями? Мне в разговоре тет-а-тет (не в ЦФО) объясняли, что такие АС теперь "мимо кассы" и делать с ними можно, что душе угодно - именно что белое пятно...

to oko

Если для частного случая регулятор официально скажет, как делать, то мы будет не говорить, а исполнять. Потребность обмена мнениями появляется именно в условиях отсутствия прямых указаний со стороны регулятора.

to CM
Так у нас постоянно такие условия, судя по количеству белых пятен в НМД и наличию пресловутого "экспертного мнения регулятора" на каждый чих :D
Впрочем, да, это все разговоры в пользу бедных. Лучший вариант как обычно - самостоятельно обивать пороги и действовать сообразно полученным указаниям. Даже если эти указания разнятся от региона к региону, ничем, в сущности, не обоснованы и поменяются через пару месяцев. Напомнило: "Вы поезжайте в Мордовию и спросите - Голый был интеллигент" (с)

Если в компании есть несколько компьютеров, на которых обрабатываются конфиденциальные сведения. Их необходимо аттестовать. С чего мне начинать?