Ежегодный технический контроль ГИСа - Форум по вопросам информационной безопасности

Товарищи, подскажите, пожалуйста, пару вопросов.

Мы в рамках действующего аттестата ежегодно проводим технический контроль. С привлечением лицензиата.
В следующем году будет новая аттестация.
(ГИС 3 класса)

Вопросы:
1) Правильно ли я понимаю, что теперь после аттестации ЕТК нужно будет проводить раз в 2 года?
2) Если контроль раз в 2 года. Нужно ли его проводить на следующий год после аттестации или через год?

Спасибо.

to йцукен:

> Мы в рамках действующего аттестата ежегодно проводим технический контроль. С привлечением лицензиата.

Ежегодно проводите контроль, а вопрос возник только сейчас? И что по этому поводу говорит лицензиат, которого вы привлекаете?

> В следующем году будет новая аттестация.
> (ГИС 3 класса)

Аттестат соответствия выдается на весь срок эксплуатации ГИС. Повторная аттестация проводится только в случае развития (модернизации) ГИС в случаях, предусмотренных пунктом 33 Порядка, утвержденного приказом ФСТЭК России от 29.04.2021 № 77.

> 1) Правильно ли я понимаю, что теперь после аттестации ЕТК нужно будет проводить раз в 2 года?
> 2) Если контроль раз в 2 года. Нужно ли его проводить на следующий год после аттестации или через год?

С формальной точки понятия ЕТК (ежегодный технический контроль) в нормативной документации ФСТЭК России для государственных информационных систем (ГИС) нет.
Если под "ЕТК" имеется в виду "контроль за обеспечением уровня защищенности информации", то требования к его периодичности определены пунктом 18.7 Требований, утвержденных приказом ФСТЭК России от 11.02.2003 № 17: "Периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационных системах 2 и 3 классов защищенности, устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационных систем, но не реже 1 раза в два года".
Иногда периодичность проведения контроля устанавливают в аттестате соответствия.
Поэтому необходимость проведения контроля будет следовать из требований организационно-распорядительных документов по защите информации ГИС или условий аттестата соответствия.

to йцукен

1. Да, каждые 2 года. Не понятно вообще, зачем Вы проводили контроль ГИСа каждый год.

2. Каждые 2 года с даты выдачи аттестата. Например, аттестат выдан 27.05.2022. След. контроль не позже чем 27.05.2024. Потом не позже чем 2 года с даты прошлого контроля.

Можно хоть каждый месяц его проводить, главное не позже, чем раз в 2 года.