Обязательность аттестации АРМа для работы с ДСП - Форум по вопросам информационной безопасности

Добрый день коллеги.

Некоторое время назад вышестоящее руководство стало направлять в наш адрес документы с ограничительной отметкой ДСП и если раньше мы их спокойно обрабатывали без средств ВТ, то теперь это стало проблематично.
Сейчас планируем приобрести отдельное, не сетевое АРМ с МФУ для подготовки ответов на ДСП. Возник вопрос, а надо ли нам его аттестовывать или нет. Если мы его аттестуем под ДСП, то сможем ли мы на нем обрабатывать документы с отметкой КФ.

Спасибо.

to vice4
Что есть пометка КФ? "Конфиденциально" в рамках режима коммерческой тайны или иного режима работы с инф.огр.доступа, касающейся деятельности исключительно вашей организации? Так это регулируется вашими внутренними положениями - можно хоть через публичный wifi на тачке в Интернет-кафе обрабатывать, если сами постановили такое разрешение. Риски-то и границы ответственности сами определяете...
Пометку "Для служебного пользования" вышестоящая контора на каком основании ставит? Если "просто так исторически сложилось", то можете поступать сообразно приведенному примеру с другими пометками с оглядкой на доп.инструкции, высланные вышестоящей конторой. Если этих инструкций нет, то можете даже считать эти бумаги "открытыми" - ответственности на вас никакой (и проблема в кривых руках/головах вышестоящей конторы). Впрочем, о столь радикальном действии предварительно стоит переговорить с вышестоящей конторой. Во избежание, ага...
Если "ДСП" присваивается на основании каких-либо подзаконных актов (ибо закона о Служебной тайне до сих пор нет), например, недавние приказы Минцифры, МО РФ, старое Постановление Правительства для ФОИВ/Росатома/Роскосмоса или на основании какого-либо ведомственного положения (например, положения Министерства, которому подчиняется вышестоящая контора и, как следствие, вы), то вначале запросите и изучите все документы, определяющие порядок и правила обработки таких документов. И действуйте сообразно им (настоятельно рекомендуется их "доработать под себя" без противоречий, но с уточнениями, и в явном виде ввести в действие в своей организации с обязательным ознакомлением об этом всех допущенных сотрудников)...
А АРМ, МФУ, их защита и аттестация и прочее - это уже частности, инструменты, которые не должны противоречить, но могут расширять принятые политики/требования по конфиденциальному документообороту в вашей организации (с оглядкой на вышеперечисленное)...

to vice4:

> Возник вопрос, а надо ли нам его аттестовывать или нет.

Требования по защите информации ограниченного доступа "ДСП", включая обязательность аттестации для их обработки АРМ, должны определяться передающей эту информацию стороной. В Вашем случае это вышестоящая организация. Если передача информации ограниченного доступа не обеспечена требованиями по ее защите, то и ее обработка не может быть обеспечена мерами защиты. Предмета обсуждения нет: какие организационно-технические меры и в каком объеме необходимо выполнить? В данной ситуации стоит запросить у вышестоящей организации требования по защите направляемой информации "ДСП". Может окажется, что аттестовывать ничего не потребуется.

> Если мы его аттестуем под ДСП, то сможем ли мы на нем обрабатывать документы с отметкой КФ.

Не очень понятно, что имеется в виду под "отметкой КФ"?! В любом случае, если Вы решили систему аттестовывать, то в аттестате будут указаны требования на соответствие которым аттестовывалась система и какая информация ограниченного доступа может на ней обрабатываться. Кроме того, решение по обработке информации ограниченного доступа "ДСП" на конкретном АРМ может быть принято руководителем организации и определено в локальном нормативном акте (приказе, распоряжении). Это в случае наличия имеющейся в организации какой-нибудь аттестованной техники, обеспечивающей соответствующие требования по защите информации.

Да, всё верно, КФ это отметка конфиденциально на документах.
По поводу ДСП - их присылает Минпромторг и МО РФ, выходит мне надо запрашивать регламенты работы с ДСП у этих организаций?

to vice4:

> По поводу ДСП - их присылает Минпромторг и МО РФ, выходит мне надо запрашивать регламенты работы с ДСП у этих организаций?

Корректнее будет в обращении запросить требования по защите получаемых от них сведений ограниченного доступа, поскольку понятие "регламенты" достаточно широкое. Как вариант можно со своей стороны подготовить техническое задание на создание защищенной информационной системы и отправить к ним на согласование. А после согласования выполнить работы по защите информации и осуществлять обработку.

Спасибо