Аттестация ИСПДн - Форум по вопросам информационной безопасности

Для Сергея, Альбатрос:

Для этого прямого запрета нормами не предусмотрено.
В случае, если под АИС (не ГИС) понимается ИСПДн и под классификацией подразумевается определение типа актуальных угроз безопасности ПДн и установление уровня их защищенности при обработке в системе, то можно обратить внимание, что в нормах п.п. 5 (е), 6, 9-12 постановления Правительства РФ от 01.11.2012 № 1119 используется понятие информационной системы в единственном числе.
В случае, если под АИС (не ГИС) понимается ОКИИ и под классификацией подразумевается категорирование значимости этого объекта, то можно обратить внимание, то в нормах п.п. 6, 8, 10(а, г-е) постановления Правительства РФ от 08.02.2018 № 127 используется понятие объекта КИИ в единственном числе. При этом п.п. 4, 5(в-д), 9, 10(в) данного постановления понятие объектов КИИ применяется во множественном значении, а п. 16 прямо говорит, что допускается оформление единого акта по результатам категорирования нескольких объектов КИИ.
В случае, если под АИС (не ГИС) понимается АС и под классификацией подразумевается установление класса защищенности от НСД к информации, то в пунктах 3.15, 5.1.6, 5.1.7, 5.1.9 СТР-К (2001 г.) вместе с Приложением № 1 (форма Акта классификации АС) к нему используется понятие АС в единственном числе.
Если не секрет, то в чем заключается необходимость единого актирования в Вашем конкретном случае?

Спасибо за развернутый и оперативный ответ! Я с Вами полностью солидарен и также обращал внимание на использование словосочетаний в ед. числе.
Как раз я настаиваю на подготовке акта для каждой системы во избежание рисков в части проведения регуляторами контрольных мероприятий и наступления негативных последствий. А исполнитель по договору (контора, которая аттестовывала "большие" информационные системы) сообщает, что в этом нарушений нет. В исходном тз заложили сущность двух систем в одном аббревиатуре. Я пытаюсь довести до руководства, что у нас могут быть серьезные проблемы, т.к. системы имеют разные технологические процессы обработки информации, разную защищаемую информацию и в итоге разную документацию. И акт должен утверждаться для каждой аис.