Внесение изменений в ТП по ФСТЭК - Форум по вопросам информационной безопасности

*в сторону*
Документы должны работать, а не тупо заполняться, лежать и предъявляться отдельным личностям раз в N времени. Поэтому, imho, идеалогия ведения журналов учета МНИ отдельно от Техпаспорта наиболее верная. Если этих МНИ не 1-2 и не меняются они годами. И при условии органичного и юр.значимого вплетения ведения таких журналов в составе комплекса притяных мер обеспечения безопасности...
Если же съемные МНИ однозначно относить к ТС по всей строгости учета и по факту "устройство накопления/хранения информации", то давайте отдельно в Техпаспорте по КОНФИ-линии расписывать все ЦПУ, ОЗУ и ПЗУ, чего уж мелочиться...

to sekira

п. 33 приказа № 77 ФСТЭК России.

В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичные средства или заменены на аналогичные средства, проводятся дополнительные аттестационные испытания
в соответствии с настоящим Порядком. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.
В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация в соответствии с настоящим Порядком


** если следовать Вашему мнению, то изменение флеш накопителя может привести к доп.аттестации/переаттестации ОИ.

"если следовать Вашему мнению, то изменение флеш накопителя может привести к доп.аттестации/переаттестации ОИ"

ушли от темы....
не ответили на мои два вопроса....

При добавлении МНИ (если их не было при первичной аттестации) возможны дополнительные испытания (решать органу...).

"давайте отдельно в Техпаспорте по КОНФИ-линии расписывать все ЦПУ, ОЗУ и ПЗУ, чего уж мелочиться.."

Гротескная ситуация приведенная вами не есть решение проблемы...
Написано как делать надо - МНИ и в Журнал учета как МНИ и в ТП как ОТСС в чем проблема я не вижу.

to sekira
Тов. Денис, меж тем, абсолютно прав (хотя излишнее цитирование как всегда режет глаз, но это индивидуальная реакция, ага). Ибо последовательным нужно быть до конца. Именно поэтому в означенном случае вместо подсовывания головы под недоработку регулятора (записали новую flash в Техпаспорте - добро пожаловать на доп.аттестацию) проще нивелировать ситуацию другой его недоработкой (отсутствием явного указания, что МНИ == ТС, или отсутствием соответствующей таблицы МНИ в Техпаспорте)...
А вообще проблем, конечно, нет. Кроме ленности эксплуатантов, год от года забывающих базовые принципы контроля и режима (даже в КОНФИ) или переоткрывающих их заново с физиономией Архимеда после бани. И кроме кретинизма рук регулятора, которые читать не умеют (руки же не глаза) и которые не знают, что делает соседняя рука (руки же не мозг, чтобы что-то помнить и анализировать)...

ЗЫ Кстати, в упомянутом методдокументе 2014 есть явное разделение на ЗНИ и ЗТС. Но при этом указано, что "съемные МНИ == мобильные ТС". Но от этого еще больше несостыковок, неувязок и проч. Если есть желание, можем обсудить, но, пожалуй, через месяц после "конца года"...