Контроль ГИС - Форум по вопросам информационной безопасности
Контроль ГИС - Форум по вопросам информационной безопасности
| Автор: Константин | 110382 | 22.09.2022 10:49 |
|
Добрый день!
1. Подскажите, пожалуйста, какие итоговые документы должны быть разработаны и представлены в ФСТЭК по итогам проведения контроля за обеспечением уровня защищенности ГИС ? 2. Есть какие-нибудь утвержденные формы документов контроля за обеспечением уровня защищенности ГИС ? 3. Какими документами и пунктами надо руководствоваться при проведении контроля за обеспечением уровня защищенности ГИС ? Большое спасибо. |
|
| Автор: Константин | 110383 | 22.09.2022 10:52 |
|
Если Аттестат на ГИС был выдан 09 сентября 2019 года
|
|
| Автор: Константин | 110384 | 22.09.2022 11:18 |
|
Простите, первый вопрос отпал по результатам разрабатываются заключение и протокол.
Согласно 77 приказу протокол отправляется в ФСТЭК. но вопросы 2 и 3 остались. |
|
| Автор: CM | 110385 | 22.09.2022 11:43 |
|
to Константин:
2. Утвержденных форм документов, оформляемых в ходе контроля за обеспечением уровня защищенности информации в ГИС, в настоящее время не установлено. 3. При проведении контроля за обеспечением уровня защищенности информации в ГИС руководствуйтесь п. 18.7 Требований, утв. приказом ФСТЭК России от 11.02.2013 № 17. |
|
| Автор: Константин | 110386 | 22.09.2022 12:07 |
|
2 CM спасибо.
А требования ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний» по контролю соответствия аттестованных АС не нужно учитывать? И вопрос про сроки предоставления протоколов контроля ГИС в ФСТЭК. В п.32 77 приказа сказано, что протоколы представляются не реже одного раза в два года. С какого дня идёт отсчёт предоставления не реже одного раза в два года? Допустим ГИС 3 класса, документы по контроля от 22.09.2022. Когда нужно их представить в ФСТЭК ? |
|
| Автор: oko | 110387 | 22.09.2022 12:21 |
|
to Константин
Кажись, вы заработались, коллега :) Primo, что значит с какого числа? Если ГИС аттестована, положим, 01.01.2022 (т.е. уже по новым правилам 17 Приказа), то КЭ нужно провести ДО 01.01.2024. И ДО этого момента Протоколы и Заключения по КЭ в УФСТЭК направить. Памятуя излишний формализм регулятора, желательно направить так, чтобы они и пришли в УФСТЭК не позднее 01.01.2024. И, желательно, чтобы само КЭ было проведено по-ближе к оным срокам отправки. Иначе можно нарваться на лишние и бессмысленные вопросы... Secundo, ГОСТ 0043 по ПиМ в целом остается, но использовать его не стоит, потому что более-менее полное описание разделов ПиМ приведено в самом 77 Приказе, который, собственно, главнее ГОСТ. Так что ГОСТ можно юзать не более чем вспомогательный документ... |
|
| Автор: Константин | 110389 | 22.09.2022 12:44 |
|
2 oko спасибо, но ведь это только ваши домыслы, что протоколы должны быть представлены до 01.01.2024. Если бы писалось согласно вашим размышлениям, то и было бы написано, что
Протоколы контроля защиты информации на аттестованном объекте информатизации не позднее сроков контроля защиты информации представляются владельцем объекта информатизации в ФСТЭК России. Но в приказе же написано именно: Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России). я не вижу в тексте приказа 77 взаимосвязи со сроками контроля указанными в 17 приказе. собственно про это и вопрос. |
|
| Автор: Константин | 110390 | 22.09.2022 13:23 |
|
2 oko я не прав, прошу прощения. всё верно вы сказали если аттестована 01.01.2022, то протоколы нужно предоставить до 01.01.2024.
Тогда следующий вопрос если система 1 класса, и контроль ежегодный, то можно представить сразу два протокола за два года? |
|
| Автор: oko | 110391 | 22.09.2022 13:29 |
|
to Константин
Ошибка моих рассуждений в отсутствии следующего уточнения: для ГИС 1 класса предоставлять протоколы нужно ежегодно (ибо КЭ ежегодный). И это не противоречит фразе "не реже 1 раза в 2 года", ага... imho, логично выполнять требования соответствующего приказа по срокам контроля. Логично предоставлять материалы КЭ сразу после КЭ, который проводить не позднее 2 лет с момента аттестации/предыдущего КЭ... Но предоставлять протоколы КЭ, проведенного в 2022 (в случае сроков по примеру выше), ближе к 01.01.2024 (т.е. через год-полтора после проведения КЭ) - это верх идиотизма и увеличения энтропии. И если от идиотизма еще никто не умирал глобально (это пока, ага), то увеличение энтропии ведет к тепловой смерти Вселенной. Короче, не надо так делать... Если же описанная логика не устраивает, то ответ один: пишите в ЦА ФСТЭК и пусть лично автор 77 Приказа пояснит за него. Самый правильный вариант (который, подозреваю, тоже подкинет энтропии)... А не видите вы взаимосвязи, потому что 77 Приказ не только для ГИС/МИС. Потому что он также распространяется на: - ИСПДн, где есть явное про 3-годичный период Оценки, но ни слова про Контроль (остаюсь при своем: в случае Аттестации ИСПДн по 77 Приказу, Аттестат будет бессрочным, а Контроль 2-годичным; в случае без Аттестации - полная оценка эффективности 1 раз в 3 года, как и указано, безо всякого Контроля); - и ОКИИ/ЗОКИИ, где периодичность любых мероприятий устанавливается субъектом КИИ (остаюсь при своем: в случае Аттестации ИСПДн по 77 Приказу, Аттестат будет бессрочным, а Контроль 2-годичным); - и АСУТП, где про периодичность вообще нихрена не сказано (остаюсь при своем: в случае Аттестации ИСПДн по 77 Приказу, Аттестат будет бессрочным, а Контроль 2-годичным); - и прочее (по аналогичному принципу, ага). |
|
| Автор: oko | 110392 | 22.09.2022 13:30 |
|
to Константин
Вы меня опередили. Предыдущее сообщение писал, не увидев вашего от 22.09.2022 13:23... |
|
Страницы: 1 2 3 >
Просмотров темы: 1343
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"