Автор: Константин | 110393 | 22.09.2022 13:41 |
2 oko благодарю!
|
Автор: Константин | 110396 | 22.09.2022 18:12 |
Прошу помочь. Что должно быть сделано и указано в протоколе контроля ГИС исходя из требований п.18.7 17 приказа:
1).контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы; 2).анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы; 3).документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе; 4).принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы защиты информации. по 4 пункту, о принятии решения, вроде всё понятно.. Спасибо! |
Автор: oko | 110397 | 22.09.2022 18:39 |
to Константин
Да там как бэ по смыслу и в 1 - 3 пунктах все понятно... imho, оформлять Протоколы КЭ стоит в том же стиле, что и Протоколы по результатам аттестационных испытаний... Думаю, можно без подробностей, если они раскрываются в других документах, на которые есть ссылка в Протоколах КЭ. Можно с подробностями на основании отдельной ПиМ КЭ. Можно... да пока регулятор, !%*#&, не установит хотя бы примерные шаблоны, можно будет писать что угодно и в каком угодно объеме. Один хрен потом будет экспертиза регулятора в неизвестные сроки и в непонятном объеме, ага... |
Автор: Константин | 110398 | 22.09.2022 21:08 |
2 oko большое спасибо!
Экспертиза протоколов контроля? А про это где написано? такого не встречал |
Автор: CM | 110402 | 23.09.2022 07:46 |
to Константин:
Мероприятия по контролю за обеспечением уровня защищенности информации для ГИС являются самостоятельным видом мероприятий. По значению и объему они отличаются от других видов испытаний системы (предварительные, опытная эксплуатация, приемочные), в том числе и от аттестационных испытаний согласно Порядка, утв. приказом ФСТЭК России от 29.04.2021 № 77. Указанные Вами пункты (1) - (4) можно рассматривать, как последовательность действий в результате которого должно быть принято решение о доработки (модернизации) ее системы защиты информации или достаточности действующих в системе мер. Контроль за обеспечением уровня защищенности информации проводится в ходе эксплуатации ГИС, поэтому приятие такого решения заключается получении судьбаносного ответа на вопрос: "Надо или нет корректировать систему защиты ГИС?". (1) это проведение мероприятий в объеме мер АНЗ.1. В идеале видится для этого мероприятия сделать отдельную ПМ анализа уязвимостей. (2) это оценка функционирования ГИС и ее СЗИ + при необходимости устранение выявленных уязвимостей в ходе (1). Подобную оценку проводят по результатам опытной эксплуатации на этапе приемочных испытаний для принятия схожего решения. Поэтому видится более корректным разработку ПМ контроля делать на базе Программы опытной эксплуатации и ПМ приемочных испытаний. (3) оформление отчетной документации по (1) и (2). Как правило, это протоколы + отчеты, формируемые сканерами безопасности. (4) собственно само принятие комиссионного решения о судьбе СЗИ. Как правило оформляют заключением по результатам проведения контроля или протоколом заседания комиссии (кому как нравится). |
Автор: CM | 110405 | 23.09.2022 08:08 |
to Константин:
Прошу прощения, про (1) написал не корректно. Уточняю: (1) это не только мера АНЗ.1, а блок мер АНЗ. Т.е. анализ уязвимостей АНЗ.1 и 4 вида контроля АНЗ.2-АНЗ.5. |
Автор: Константин | 110406 | 23.09.2022 13:16 |
2 CM Большое спасибо!
|
Автор: oko | 110407 | 23.09.2022 13:34 |
to Константин
Нигде не написано. Равно как нигде не написаны сроки экспертизы аттестационных документов. Равно как и многое другое тоже нигде не написано... Просто из опыта - у регулятора теперь огромное пространство для маневра. Не захотят - подошьют Протоколы КЭ до момента выездной проверки. Захотят - диагонально или вдумчиво проанализируют и выдадут решение о корректности/некорректности. Плохо, что это все теперь может произойти и через год-полтора после передачи документов... |
Автор: Константин | 110409 | 23.09.2022 14:06 |
Кто-нибудь из присутствующих уже представлял протоколы контроля в ФСТЭК по 77 приказу? ФСТЭК даёт обратную связь, типа протокол получен и годится или как писал oko, экспертиза пройдена?
|
Автор: Константин | 110410 | 23.09.2022 14:07 |
2 oko спасибо!
|
Просмотров темы: 1342