Аттестация ИСПДн, требования к ОС - Форум по вопросам информационной безопасности

Добрый день! Руководство приняло решение о необходимости аттестации ИСПДн, имеющих уровень защищенности 3, а также АРМ пользователей ИСПДн.

Ранее с аттестацией ИСПДн не приходилось сталкиваться, прошу Вас подсказать, верно ли я понимаю, что для проведения аттестации нам необходимо обеспечить на всех АРМ наличие операционных систем, соответствующих 6 классу защиты и выше? То есть выбрать из тех, что представлены в реестре сертифицированных средств защиты информации ФСТЭК, которые соответствуют Профилю защиты ОС(А шестого класса защиты) и выше?

to Kotoko
Если вы представитель лицензиата, которому подсунули объект Заказчика = ИСПДн, то рекомендую сходить на курсы или спросить у старших товарищей...
Если вы представитель организации, в которой эта ИСПДн эксплуатируется, то, исходя из вашего уровня подготовки, рекомендую обратиться к лицензиату за подробностями и пониманием ситуации. Только заранее также имеет смысл ознакомиться с нормативкой по ПДн (ее перечень и на форуме, и на ispdn.ru уже неоднократно приводился). А заодно учесть, что ИСПДн в чистом виде (не государственные/муниципальные ИСПДн) аттестации как таковой не требуют (можно проводить оценку эффективности принятых мер защиты как самостоятельно, так и с привлечением лицензиата). Вообще аттестация отныне ведется по 77 Приказу ФСТЭК за 2021 г. и сопряжена, мягко говоря, с дополнительными сложностями...

to oko

В курсе про то, что аттестация необязательна, однако, вопрос был не о том.

Принятие 77 Приказа не указывает на то, что 21ый прекращает свое действие. Вопрос назрел исходя из Информационного сообщения ФСТЭК России от 18 октября 2016 г. N 240/24/4893. И хотелось бы узнать о необходимости закупки большого кол-ва ОС до того, как будут запрашиваться коммерческие предложения у потенциальных организаций, осуществляющих аттестацию.

Однако, спасибо за ответ, обратимся к компетентным организациям за разъяснениями.

to Kotoko.

Вы используете либо сертифицированные ОС (ОС + СЗИ от НСД), либо можете использовать обычную ОС Windows + СЗИ от НСД. ОС не обязательно должна соответствовать каким-то требованиям, если там стоит СЗИ от НСД.

Даже Ubuntu спокойной аттестуется, которая Open Source.

Думаю ответил на Ваш вопрос.

to Kotoko
Почитайте форум, тут уже 100500 раз обсуждалось, когда, зачем и на кой черт вообще в "чистых" ИСПДн (которые одновременно с этим не ОКИИ, не ГИС, не еще что-то "обязательное") нужны именно сертифицированные СЗИ, к которым относятся и ОС...
В том и смысл, что с выходом 77 Приказа 21 Приказ не потерял силу - там "оценка эффективности реализованных мер защиты" (безопасности ПДн, не суть важно). И как это все согласуется с комм.предложениями на ОС? При правильной обвязке для ИСПДн 3-4 уровня защищенности может и обычных ОС хватить...
Разве что в свете последних событий имеется ряд вопросов, корни которых уходят в те же угрозы 1-типа НДВ из ПП РФ 1119 (как в Windows, MacOS, так и в opensource-ОС от всяких Canonical, RedHat и иже с ними). Вот этим куда как правильнее озаботиться, imho...

to oko

Да собственно и для 1-2 уровня тоже не важна, какая ОС. При правильном использовании СрЗИ.

to Денис
Видимо неясно сказал - перефразирую: imho, для "чистых" ИСПДн 3-4 уровня защищенности на оконечных раб.станциях или серверах часто достаточно тупо нормальной ОС без каких-либо СЗИ НСД. При условии нормальной обвязки технических мер по другим направлениям + выполнении нужных мер организационной части. А при условии оной обвязки на 5+ - и для 1-2 уровней защищенности тоже, ага...
Вообще, желание некоторых лицензиатов/владельцев/операторов всюду лепить СЗИ НСД, особенно когда все процессы проходят на уровне сервисов, а не ОС, вызывает желание взять автомат и... далее по тексту...