Проведение периодического контроля уровня защиты информации на аттестованном объекте информатизации, тестирование защищенного подключения к ресурсам ФИС ФРДО - Форум по вопросам информационной безопасности
Проведение периодического контроля уровня защиты информации на аттестованном объекте информатизации, тестирование защищенного подключения к ресурсам ФИС ФРДО - Форум по вопросам информационной безопасности
| Автор: Елена Иконникова, АНОИ | 110220 | 27.07.2022 10:20 |
|
Истек годовой срок лицензии Secret Net Studio 8. Поставщик услуг "Спецоператор" уверяет, что для обновления лицензии необходима установка этого же ПО, а так же обязательно проведение периодического контроля уровня защиты информатизации на аттестованном объекте. Так ли это?
|
|
| Автор: CM | 110222 | 27.07.2022 13:12 |
|
to Елена Иконникова:
Да, на Secret Net Studio может предоставляться лицензия сроком на 1 год, после истечения которого необходимо будет приобретать новую лицензию. При продлении лицензии проводить переустановку ПО не требуется. Возможность добавления новой лицензии предусмотрена в настройках самой программы Secret Net Studio. ФИС ФРДО относится к ИСПДн и ее аттестовывают на соответствие требованиям по безопасности персональных данных: ПП № 1119 от 01.11.2012, Состав и содержание мер, утв. приказом ФСТЭК России от 18.02.2013 № 21. Обязанность ежегодного проведения оценки эффективности реализованных мер защиты в системе, как правило, указывается в Аттестате соответствия. Если этого условия нет, то проведение данной оценки должно проводиться не реже 1 раза в 3 года (см. пункт 6 Состава и содержания мер, утв. приказом ФСТЭК России от 18.02.2013 № 21). |
|
| Автор: oko | 110225 | 27.07.2022 13:54 |
|
to CM
Разве с выходом 77 Приказа лицензиат теперь может подобное в аттестационке писать? Кажись, по умолчанию теперь для аттестованных каждые 2 года контроль, а Аттестат вообще без срока и вне зависимости от положений 21 Приказа. Раз уж не оценка, а аттестация согласно новому Положению, ага... |
|
| Автор: sekira | 110226 | 29.07.2022 07:49 |
|
1119 ?
21... 8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных. 77 ...32. Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России). Одно другому не противоречит но 77 первичен как требования к процедуре... |
|
| Автор: CM | 110227 | 29.07.2022 08:56 |
|
to sekira:
Указанные пункты, вообще, не пересекаются. Поэтому между ними не может быть не только противоречий, но и "конкуренции за первичность". |
|
| Автор: Денис | 110228 | 29.07.2022 18:29 |
|
to CM.
ФСТЭК запрещает что либо свое добавлять в аттестат. В том числе и возможность распространения аттестата. |
|
| Автор: CM | 110229 | 30.07.2022 16:52 |
|
to Денис:
Это после вступления в силу Порядка, утвержденного приказом ФСТЭК от 29.04.2021 № 77. У автора старт-топика "ежегодность" проведения контроля могла быть указана в Аттестате соответствия, выданного до вступления в силу указанного Порядка. |
|
Прошло несколько месяцев
| Автор: Александр | 110506 | 07.11.2022 17:06 |
|
Первый вопрос в форуме был в отношении необходимости обязательного проведения периодического контроля объекта информатизации, после приобретения лицензии Secret Net Studio 8, взамен закончившейся лицензии (1 год). Спецоператор настойчиво утверждает о необходимости проведения периодического контроля в связи с необходимостью внесения изменений в Аттестат соответствия при смене СЗИ. Так ли это?
Можно ли просто продлить лицензию, без Проведения периодического контроля? Наверное надо будет еще получить сертификат активации сервиса прямой технической поддержки VipNetClient сроком на один год? |
|
| Автор: oko | 110510 | 07.11.2022 21:22 |
|
to Александр
Если изменилась только лицензия (читай, файл ключа), а не само СЗИ, то нужно быть очень голодным лицензиатом, чтобы при этом раскручивать на "контроль-в-связи-с-изменениями".... Если изменилась версия СЗИ (обновили SNS8.5 до SNS8.8, например), то тут 50/50 - нужно читать материалы аттестационки с прошлого раза... Если изменилось СЗИ вообще (причем переход с SN7 на SNS8.8 тоже считается), то, imho, лицензиат в своем праве. Только не "контроль", а мифические "дополнительные аттестационные испытания"... Если поменялось еще много чего - добро пожаловать на повторную аттестацию... А что до ViPNet - обращайтесь в контору-владелец vipnet-сети. И запросите у них выписку из заключения 8 Центра с указанием текущей сертифицированной сборки ViPNet Client. Далее сличайте версию со своей - в случае расхождения оформляйте техподдержку и требуйте обновления дистрибутива. А если версия совпадает + контора не жлобится (читай, не отбирает доступ к vipnet-сети, пароли администратора и т.п.) - можете техподдержку и не продлевать... |
|
Прошел месяц
| Автор: Ann | 110570 | 06.12.2022 10:04 |
|
А лицензиат этот очень голодный, схема на поток поставлена:
1. Ежегодное запугивание ФСТЭКом и проверками, анулированием аттестата, отключением от системы... 2. ViPNet сеть для доступа к этой системе как раз "принадлежит" спецоператору, и Техподдержку Clienta они отдельно периодического контроля не предоставляют. (и есть маааленькая доля вероятности, что при отказе от периодического контроля доступ к ФГИС будет недоступен) Profit! |
|
Страницы: 1 2 3 >
Просмотров темы: 6240
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"