Протокол контроля защиты информации на аттестованном объекте - Форум по вопросам информационной безопасности

Добрый день! Подскажите пожалуйста, во исполнение приказа №77 от 29.04.2021 г. все аттестованные объекты должны раз в 2 года отправлять в территориальный ФСЭК протокол контроля защиты информации на аттестованном объекте. Как это делается? Где можно посмотреть образцы данных протоколов?
Мы являемся образовательным учреждением (сдаем данные в ФИС ФРДО). Прошли аттестацию, подключен Vip Net и лицензионный антивирусник. Нужно ли нам сдавать такой протокол. Обязаны ли мы иметь тех. сопровождений сторонних организаций занимающихся аттестацией объектов защиты (очень часто приходят коммерческие предложения в которых сообщают, что это обязательно).

В аттестате у Вас указаны нормативные документы которым соответствует ваша ИС (например требованиям ПП 1119, требованиям утвержденным приказом ФСТЭК №21, требованиям утвержденным приказом ФСТЭК №17...).
Периодическая оценка уровня защиты информации - это оценка соответствия ИС требованиям указанных в аттестате документов....

to Татьяна
Primo, 77 Приказ говорит тупо: владелец должен проводить контроль, по результатам которого оформляются протоколы. Никаких запретов на привлечение к этому делу лицензиатов не указано. Вывод: если владелец по своим соображениям хочет перепоручить контрольные мероприятия лицензиату - он в своем праве; не хочет и может провести самостоятельно - он тоже в своем праве...
Secundo, образцов протоколов публично никто не раздавал (ФСТЭК тем более), так что в произвольной форме. Логично оформлять их по стилю протоколов ранее проведенных аттестационных испытаний (без разработки программы и методики, а также с несколько другими целями и задачами)...
Tertio, вам бы для начала следовало решить другие две задачи: являетесь ли вы сегментом ФИС, на которую распространяется аттестат (если являетесь, то что по поводу 2-годичного контроля говорит "голова", читай владелец/оператор ФИС?) и есть ли запись в реестре аттестованных объектов ФСТЭК о вашей системе (если аттестация была в 2020 и ранее - не факт). А заодно, не изменился ли ваш объект настолько, что требует проведения повторных полноценных аттестационных испытаний...
Last, тех.сопровождения в вопросах аттестации не бывает (за исключением случая долгоиграющего контракта, но тогда все условия, включая сопровождения, в нем уже оговорены заранее и до проведения аттестационных испытаний). А лицензиатов, рассылающих письма об "обязаловке-сопровождения-аттестационного-объекта-от-лица-нашей-левой-но-замечательной-конторы", imho, стоит подшивать в единый реестр. Который позже предоставить во ФСТЭК и в прокуратуру...

ЗЫ Хохма в другом: владельцем объекта может являться совсем не та организация, которая объект эксплуатирует (оператор) и которую обязали выполнять требования о защите информации на объекте. Вот тут куда как более интересный вопрос с точки зрения "буквы" 77 Приказа, ага...

to Татьяна.

* очень часто приходят коммерческие предложения в которых сообщают, что это обязательно *

Пошлите их .., а лучше потребуйте официальное письмо о такой необходимости и направьте его в их территориальный ФСТЭК.

--
Протокол можете сдавать Вы, а может и лицензиат. У нас лично так в регионе.
Да, такой протокол = протокол/заключение аттестационных испытаний. +-

то nekto...
"Периодическая оценка уровня защиты информации - это оценка соответствия ИС требованиям указанных в аттестате документов..."
А где это написано? И каких документов?

to sekira

> А где это написано?...

Да Вы правы, в 77 приказе написано - не периодическая оценка уровня защиты, а периодический контроль уровня защиты...

"Да Вы правы"
Да я ващее ниче ни говорил...:))) Просто порядок данных работ "белое пятно" НМД вот я и подумал где-то есть и я что-то пропустил?

to sekira:

> Просто порядок данных работ "белое пятно" НМД

Какой считаете нужен "порядок от регулятора" для проведения контроля, в котором он не задействован? Предоставление результатов контроля регулятору сюда не относится, поскольку это является частью Порядка, утвержденного приказом от 29.04.2021 № 77. Чисто "внутреннее" мероприятие, абсолютно рабочий момент при эксплуатации системы.
На мой взгляд какой-то необходимости в "порядке от регулятора" для периодического контроля нет. Для его проведения достаточно приказа о комиссии с программой (программой и методикой) контроля.

to sekira
+100500

to CM
Конечно, белых пятен нет - это все *вырезано* тупые лицензиаты */вырезано* пятная на Солнце:
- почему должны быть приказ и ПиМ в рамках 2-годичного контроля? и почему именно от лица владельца системы? в 77 Приказе об этом ни слова, и уже сталкивался с юр.отделами Заказчика и их запросами "а на каком основании!?"...
- если у владельца нет своих специалистов от слова вообще - ему тоже самостоятельно разрешается проводить контроль по принципу "хоть как-нибудь"?
- в рамках этого контроля "инструментальность" учитывается? и тоже владельце самостоятельно? хрен с ним, с ПЭМИН, но если объект = ЗП?
- каковы границы этого контроля "по глубине" (т.е. тупо проверили конфиги МЭ как части КСЗ, но "левые" каналы связи искать не стали; или наоборот заказали полноценный пен-тест, а вот режимные меры как не исполнялись, так и проигнорировали; и т.д., и т.п.)?
Вишенка на торте: объект создавался при участии нескольких Министерств в рамках какого-то нац.проекта, т.е. Оператор - солидная контора-исполнитель (эксплуатант), а Владельцев у системы де факто много (и ни один за нее полноценно отвечать не хочет). Бурные были деньки, ага. В этом гэнг-бэнге еще и уважаемый лицензиат поучаствовал. Прошло два года и, как водится, система подросла, только маменьке, извиняюсь, Оператору теперь вообще не ясно, что с ней делать и, главное, кого из отцов, читай, Министерств привлекать к ответственности. Хотя бы в рамках в качестве алиментов пусть назначает и направляет результаты контроля во ФСТЭК согласно 77 Приказу, не так ли?

ЗЫ Понаберут в Дозор слепых, глухих, читать не умеющих... (с)

"для проведения контроля, в котором он не задействован? Предоставление результатов контроля регулятору сюда не относится !!!!, поскольку это является частью Порядка, утвержденного приказом от 29.04.2021 № 77"

пр. 77 ...34. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае:
в) непредставления протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка...