Аттестация ИСПДн - Форум по вопросам информационной безопасности
Аттестация ИСПДн - Форум по вопросам информационной безопасности
| Автор: Илья Сергеевич | 110438 | 05.10.2022 18:48 |
|
Добрый день!
В организации были созданы ИСПДн (очень давно). Созданные ИСПДн являются локальными, принадлежат организации и используются во время выполнения пунктов федерального закона. Получается, что данные ИСПДн являются ГИС? Исходя из того, что системы являются ГИС, необходимо выполнить требования 17 приказа и провести аттестацию. Для проведения аттестации согласно методике, утвержденной Приказом ФСТЭК России от 29 апреля 2021 г. № 77 необходимо предоставить ряд документов компании проводящей аттестацию, одним из документов является техническое задание на создание ИС. Как правильно поступить в данной ситуации, если ИС создавались без ТЗ, защита тоже выстраивалась без ТЗ. Возможно есть "дорожная карта" по переводу ИСПДн в ГИС, и какие ключевые шаги необходимо выполнить? Средства на разработку/модернизацию ИС отсутсвуют, не говоря уже о ТЗ. Да и не совсем верно создавать ТЗ на уже существующую систему. |
|
| Автор: oko | 110439 | 05.10.2022 19:31 |
|
*в сторону*
Модуль экспрессии заставляет кричать "Штаааа???!!!11111", но модуль самоконтроля его с переменным успехом сдерживает... to Илья Сергеевич Получается, что на основании приведенных вами исходных данных невозможно ни подтвердить, ни опровергнуть статус ваших ИСПДн как ГИС-ИСПДн и, как следствие, корректно ответить на все последующие вопросы... Вообще, всегда есть такая вещь как "специальное техническое задание на модернизацию объекта информатизации" или "специальное техническое задание на модернизацию системы защиты объекта информатизации"... |
|
| Автор: CM | 110440 | 06.10.2022 09:08 |
|
Илья Сергеевич,
Исходя изложенного Вами сейчас создается ГИС, которой ранее не было. Пусть даже на базе ранее действующей инфраструктуры в виде локальных ИСПДн. Не всегда ГИС создается "с нуля". Закон не запрещает использовать для создания или модернизации элементы действующей инфраструктуры, в том числе и средства защиты. Любые разработанные ранее документы по ИСПДн'ам могут использоваться в качестве исходных данных при создании ГИС. Поэтому раз ГИС создается, то используйте постановление Правительства РФ от 06.07.2015 и Требования, утв. приказом ФСТЭК России от 11.02.2013 № 17. Эти документы и следует рассматривать в качестве "дорожной карты" для создания (модернизации) любой ГИС. При создании ГИС или создании ее системы защиты информации ТЗ просто необходимо. За ним последует разработка соответствующего комплекта документов. Если у Вас ранее всё таки была ГИС, то ТЗ можно сделать на модернизацию ГИС или модернизацию ее системы защиты информации. И за этим ТЗ также последует разработка соответствующего комплекта документов. |
|
| Автор: Илья Сергеевич | 110441 | 06.10.2022 09:45 |
|
Получается ТЗ на модернизацию и выполнение этого ТЗ можно выполнить собственными силами?
|
|
| Автор: CM | 110442 | 06.10.2022 10:24 |
|
Илья Сергеевич,
ТЗ всегда разрабатывает заказчик или оно "исходит" от руководства своим подчиненным. Выполнение работ собственными силами возможна при наличии лицензии на деятельность по технической защите конфиденциальной информации (п. 5 ч. 1 ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ "О лицензировании отдельных видов деятельности"). Выполнение работ со средствами криптографической защиты информации для собственных нужд наличие лицензии не требуется (п. 1 ч. 1 ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ "О лицензировании отдельных видов деятельности"). |
|
Прошел месяц
| Автор: алексей | 110527 | 15.11.2022 08:16 |
|
У меня есть вопрос ? Имеются два объекта вычислительной техники оба внутри одной контролируемой зоны, разные аттестаты, обязателен ли сетевой экран для их объединения в ЛВС или можно просто описать как один объект взаимодействует с другим объектом в ОРД.
|
|
| Автор: CM | 110530 | 15.11.2022 12:56 |
|
Для Алексея:
Возможны оба варианта и они по своему повлияют на выданные аттестаты. |
|
| Автор: oko | 110531 | 15.11.2022 14:37 |
|
to алексей
Использование аббреватуры ОВТ попахивает ГТ-вопросом. И, если так, то я б на вашем месте не спешил 2 раздельно аттестованных объекта связывать между собой. Вне зависимости от наличия/отсутствия межсетевого экрана, ага... |
|
| Автор: Сергей, Альбатрос | 110532 | 15.11.2022 16:30 |
|
Доброго времени суток!
Просьба владеющих информацией проконсультировать по сл. вопросу (желательно ссылаясь на установленные нормы законодательства или регуляторов ИБ). В случае наличия в организации двух автоматизированных информационных систем (не гис), насколько приемлемо классифицировать их одним актом. Искал соответствующую норму, но пришел к выводу, что данный вопрос не регламентирован. Заранее благодарен за обратную связь! |
|
| Автор: oko | 110533 | 15.11.2022 17:26 |
|
to Сергей
В общем случае ограничений нет - можно хоть все за раз. Особенно, если характеристики и значения их классификации совпадают. Но есть нюанс для случаях их последующей аттестации в рамках 77 Приказа ФСТЭК. Там и форма типовая, и не предусмотрено совмещение нескольких ОИ в одном акте, и регулятор потом может не понять такого подхода. Впрочем, договориться и обосновать можно многое - были бы желание и нужда... |
|
Страницы: 1 2 >
Просмотров темы: 1132
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"