Протокол контроля защиты информации на аттестованном объекте - Форум по вопросам информационной безопасности

to CM
За идею скрестить 77 Приказ с конкретными требованиями "специализированных" Приказов по линии объекта информатизации - спасибо. При всей ее обсужденной противоречивости. Жаль, что регулятор любит плодить лишние сущности и не хочет/не видит смысла подобные указания детализировать. Пусть даже 1-2 предложениями в том же п. 32, ага...
А в тему АНЗ - это уже чистой воды фантазия. Например, в таком варианте:
- берем ИСПДн У4 (каких много, а всяческих представителей, которым не объяснишь, что Заключение об оценке эффективности для ИСПДн при равных прочих = Аттестату по своему статусу, но дешевле и проще - еще больше),
- применяем базовую АНЗ.2 (а чего? все четко по оцененному и утвержденному перечню мер защиты, ибо оператор ни раньше, ни сейчас париться не хочет),
- в результате в Протоколе контроля 2-3 строки с описанием натянутых обновлений (которых в наш СВОшный век еще и хрен найдешь) + пара листов с контрольными суммами и выводами ну очень экспертной комиссии по результатам оценки взаимовлияния,
- и эта шляпа каждые 2 года летит в местный УФСТЭК, где ее бережно подшивают к скану выданного ранее Аттестата соответствия...
Фантазия, конечно, дерьмо (как и ее причина, вернее, наличие набивших оскомину "белых пятен"), но так и хочется воскликнуть: "О чудный новый мир, остановись!"...

to oko:

> ... а всяческих представителей, которым не объяснишь, что Заключение об оценке эффективности для ИСПДн при равных прочих = Аттестату по своему статусу...

Видимо отношусь к таким же представителям, т.к. считаю эти документы разными. И в первую очередь по статусу. Вы сможете объяснить свою позицию?
Думаю, что не корректно смешивать Аттестат с любым видом заключений. Будь то заключение об оценке эффективности, по результатам контроля за обеспечением уровня защищенности, аттестационных испытаний и т.д. Заключение - документ комиссии (для этого не обязательно создавать орган по аттестации). Аттестат - документ выдаёт только орган по аттестации (в силу Порядка, утвержденного приказом ФСТЭК от 29.04.2021 № 77).
В Заключении даётся оценка эффективности реализованных мер защиты (в случае, когда речь идёт о соблюдении пункта 6 Состава и содержания мер, утвержденных приказом ФСТЭК от 18.02.2013 № 21). В Аттестате указывается соответствие конкретным нормам и разрешается обрабатывать информацию определенного уровня конфиденциальности.
Именно поэтому процедура аттестации нормативно не является обязательной для ИСПДн и для обработки ПДн достаточно заключения об оценки эффективности мер. Здесь у оператора право обрабатывать ПДн наступает не в силу необходимости наличия аттестата соответствия, а в силу достаточности соблюдения условий защищенной обработки ПДн. Т.к. разрешение обрабатывать ПДн оператор получает напрямую от субъекта ПДн вместе с обязательствами о их неразглашении и защите.

Что касается УЗ4 и меры АНЗ.2:
Да. Для данного уровня мера АНЗ.2 одна из группы мер АНЗ. Не совсем понятно что именно вызвало обеспокоенность в написанной "фантазии"?! А может это были просто мысли в слух...
Регулятор посчитал, что для такого уровня защищенности ПДн одной этой меры из группы мер АНЗ достаточно. И с ним можно согласить, если посмотреть на перечень требований, установленных для 4-го уровня защищенности ПДн в пункте 13 постановления Правительства РФ от 01.11.2012 № 1119.
Если люди на местах делают "шляпу" и "эту шляпу каждые 2 года" отправляют в ФСТЭК, то эти действия показываю не качество нормативки, а качество работы исполнителей на местах. Да и сама аттестация ИСПДн УЗ4 здесь избыточна. При высокой загрузке ФСТЭКа до проверок ИСПДн УЗ4 у них, скорее всего, просто "руки не доходят". Вот и подшивают присланные документы.

to CM
Primo, не "орган по аттестации", а всего лишь упрощенное (и солидное, не поспоришь) обозначение конторы с п. г) в лицензии по ТЗКИ (ибо "далее -", ага)...
Secundo, внезапно, понятие "аттестационная комиссия" никуда не делось. И, зачастую, эксперты в ее составе - это как раз те лица, что позволяют лицензиату ТЗКИ соответствовать требованиям лицензирования (т.е. превращают его в упомянутый орган, ага). Или тут смысл в соло-подписи на последней странице Аттестата? Один мой знакомый покойник некогда виртуозно расписывался за 10+ сотрудников. "Человек-комиссия" - супергерой, которого мы заслужили, ага...
Tertio, с другой стороны, какое-либо заключение может выдать и один эксперт, а для ИСПДн вообще непобедимая дрим-тим "кадровик - сисадмин - бухгалтер". Ценность такого заключения и такой комиссии, правда, стремится к нулю...
Quatro, если Владельцу/Оператору достаточно Заключения ОЭ (раз в 3 года) вместо Аттестата (и контроля раз в 2 года) для соблюдения предписанных законом требований, то не следует самим плодить лишние сущности. Правительство РФ уже наплодило (и с угрозами НДВ, и с 3-годичным контролем, которые ФСТЭК не стала "перебивать" своим решением) - до сих пор расхлебываем...
Last, за реальное выполнение исключительно п. АНЗ.2 в действующих ИСПДн (вне зависимости от) в наше прогрессивное время стоило бы бить морду всем причастным. За подшивание "шляпы", кстати, тоже. Описанная ситуация была всего лишь хреновой фантазией, а тут эвона как повернулось...

ЗЫ Вначале хотел честно сослаться на отсутствие точек соприкосновения в подходах и понимании самой сути проблемы. Сиречь, завершить раунд по причине его полной бессмысленности. Однако вспомнил, что Сеть... Сеть никогда не меняется, ага...

to oko:

Жаль, что изложенное так не раскрыло тайну "всяческих представителей, которым не объяснишь, что Заключение об оценке эффективности для ИСПДн при равных прочих = Аттестату по своему статусу". Значит по этому вопросу буду довольствоваться своей позицией.

> Primo, не "орган по аттестации", а всего лишь упрощенное (и солидное, не поспоришь) обозначение конторы с п. г) в лицензии по ТЗКИ (ибо "далее -", ага)...
> ... понятие "аттестационная комиссия" никуда не делось...

В том то и дело, что именно орган, который не юр.лицо и не аттестационная комиссия (см. пункт 7 Порядка, утвержденного приказом ФСТЭК от 29.04.2021 № 77). По формальной "логике" регулятора: проведением процедуры аттестации должен заниматься орган по аттестации, а аттестационными испытаниями - аттестационная комиссия. Чем их компетенция отличается и почему одна комиссия не может выполнять оба действия - нормативка не поясняет. "Размыть" ответственность вряд ли получится. Она в итоге всё равно на юр.лице, получившим лицензию. А подисциплинарить неродивое подчиненное должностное лицо можно и без создания органов...
И да, согласен с Вами. Федеральное законодательство по лицензированию помимо получения юр.лицом соответствующих лицензий не предъявляет требований к созданию у этого юрлица каких-либо органов. В том числе для "упрощенного обозначения и солидности" (не юридические категории; для чего: чтобы кому-то повысить уверенность и компенсировать комплексы неполноценности?). Но подведомственные НМД, прошедшие регистрацию в Минюсте России, формально вынуждают создавать органы по аттестации и криптографической защиты. Очевидно, что способность "плодить лишние сущности" не ограничивается только правительственным уровнем. Страсть к созданию у юр.лица всякого рода "органики" можно рассматривать как архаизм советского наследия. И принимать это с пониманием и теплотой.
Также согласен, что диалог в этой "ветке" отклонился от изначального предмета обсуждения и его лучше завершить.