ЗИ ИСПДн и коммерческой тайны - Форум по вопросам информационной безопасности
ЗИ ИСПДн и коммерческой тайны - Форум по вопросам информационной безопасности
| Автор: Alexandr | 109936 | 26.04.2022 11:53 |
|
Здравствуйте! Подскажите, пожалуйста.
У нас есть ЛВС, в которой циркулирует ПДн и коммерческая тайна. Есть необходимость аттестации нашей ЛВС. Вопрос: можем ли мы подвязать коммерческую тайну к аттестации ИСПДн и выполнения требований по ее ЗИ ? Или придется проводить 2 работы по атт на ИСПДН и конфу, выполнять требования СТР-К с работами по ПЭМИНу для конфы? Есть в ЛВС АРМ, на котором формируются ЭП. Данный АРМ в любом случае должен быть аттестован по требованиям СТР-К? Спасибо! |
|
| Автор: sekira | 109937 | 26.04.2022 12:41 |
|
А зачем вам аттестация ЛВС? Ни для ИСПДн, ни для коммерческой тайны она не обязательна!
|
|
| Автор: Alexandr | 109938 | 26.04.2022 15:43 |
|
Она не обязательна, но добровольно-принудительная.Товарищи из Москвы хотят. Вот и думаем достаточно ли будет аттестоваться по ИСПДн, чтоб и конфу (коммерческую тайну) закрыть
|
|
| Автор: oko | 109939 | 26.04.2022 18:42 |
|
to Alexandr
Технически (по количеству и настройкам СЗИ, принятым иным мерам защиты) может быть и достаточно, но де юре - нет. Ибо разная информация ограниченного доступа, разные защищаемые ресурсы, разные цели и задачи и т.д... С другой стороны, объясните товарищам из Мск, что в свете Приказа 77 ФСТЭК России за 2021 г. теперь есть "некоторые" сложности с аттестацией объектов информатизации. И, если АС-КОНФИ (та самая комм.тайна) ничем особо не покрыта (защищаете как хотите, аттестацию проводите так, как договоритесь с лицензиатом), и, главное, не требует направления документов и их учета во ФСТЭК России. То с ИСПДн все далеко не так однозначно. Даже в свете недавних разъяснений от 11 апреля... В свою очередь, никто не мешает для ИСПДн провести оценку эффективности принятых мер защиты не в форме аттестации. Можно и своими силами вообще, без привлечения лицензиатов, если компетенции хватает... |
|
| Автор: oko | 109940 | 26.04.2022 18:48 |
|
*в догонку*
СТР-К все равно рекомендателен. Даже для АС-КОНФИ (хотя кроме РД 90х гг. бОльшего для нее и не осталось уже). Так что ПЭМИН можно и не рассматривать при определенных раскладах... АРМ с формированием ЭП - это что? ИСПДн? Нет. АС-КОНФИ? Нет. ГИС/КИИ/АСУ вас также не касаются и к этому АРМ тоже не относятся, как я понимаю. Или вы услуги через него кому-то оказываете и, соответственно, вам выставлены конкретные требования по защите? Тогда и проверять надо на соответствие этим требованиям... |
|
| Автор: СМ | 109942 | 27.04.2022 06:34 |
|
to Alexader:
> Она не обязательна, но добровольно-принудительная.Товарищи из Москвы хотят. Если "хотения" этих товарищей перевести в требования к системе защиты информации, тогда все вопросы перейдут в возможность их практической реализации. В таких случаях, как правило, готовят техническое задание и определяют затраты на его выполнение. Любой каприз за ваши деньги. > Вот и думаем достаточно ли будет аттестоваться по ИСПДн, чтоб и конфу (коммерческую тайну) закрыть Зависит от качества составления технического задания, позволяющего "перекрыть" и требования по защите персональных данных и требования к вашей коммерческой тайне. Иногда проще и дешевле "разделить" информационную систему на несколько систем и защищать их раздельно под разные требования. Поскольку в силу пункта 4 (г) Положения, утвержденного постановлением Правительства РФ от 03.02.2012 № 79, аттестация является лицензируемым видом деятельности, то без помощи лицензиата в этой "затее" вам не обойтись. to oko: > АРМ с формированием ЭП - это что? ИСПДн? Нет. АС-КОНФИ? Нет. Ну, эти "нет" ещё надо доказать!... Какие ключи и сертификаты ЭП на данном АРМе формируются? Зависит от регламента, в рамках которого формируются ключи. ЭП и сертификаты на них всегда связаны с физическим или должностным лицом, обладающим персональными данными. Для какой системы электронного документооборота формируются ЭП? В регламенты СЭДО или соглашения информационного взаимодействия часто включают требования по защите информации. Для каких нужд формируются ключи ЭП? Если для собственных нужд, то это не лицензируемый вид деятельности, а если оказание услуг юридическим и физическим лицам в силу пункта 28 (а может быть и ещё, до конца пока не понятно) Перечня (приложение к Положению, утвержденного постановлением Правительства РФ от 16.04.2012 № 313), то появляется необходимость соблюдения лицензионных требований. В частности пункта 6 (в) указанного Положения. Кроме того сведения, обрабатываемые на "АРМ с формированием ЭП", могут входить в какие-нибудь корпоративные перечни защищаемых сведений с вытекающей необходимостью проводить соответствующие работы. |
|
| Автор: Alexandr | 109943 | 27.04.2022 07:46 |
|
Oko, большое спасибо!
|
|
| Автор: oko | 109946 | 27.04.2022 18:35 |
|
to СМ
Если кто-то кому-то что-то сказал, то кто-то еще должен что-то сделать... Или не должен... Все зависит от, ага... Но, imho, в общем случае использование ЭП != обработке ПДн (вне зависимости от записей в полях сертификата). Формирование ЭП и базы клиентов, использующих сформированные ЭП, в каком-нибудь УЦ (с лицензией на это дело, ага) - это иной случай... Только модуль экстрасенсорики подсказывает, что тов. Alexandr под "формированием ЭП" имел в виду "использование ЭП" руководителя организации/иных сотрудников по назначению. И в явном виде требований на это "АРМ-с-ЭП" ни сама организация, ни вышестоящие товарищи из Мск или других мест и смежных систем не выставляли. Иначе не было бы вопроса про СТР-К, ага... |
|
Просмотров темы: 663
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"