О служебной информации ограниченного распространения - Форум по вопросам информационной безопасности

Что такое ППр 912? (дата. название). Я не нашел такого.

Для sekira 35992. Что такое ППр 912 (дата, название)? Не нашел такого.

sekira категорически прав(а).
Согласно 3-му предложению п. 27, стр.8

http://www.infotrust.ru/data/Docs/P_15091993_912-51.pdf

lp | 36030
"sekira категорически прав(а).
Согласно 3-му предложению п. 27, стр.8"
Ну по поводу категорической правоты все таки торопитесь, я так думаю. В данном пункте говорится об аттестации систем и средств информатизации и связи на которых ведется обработка ГТ и Служебной тайны. Информация ограниченного распространения, либо информация с пометкой "ДСП" разве является служебной тайной? по-моему совсем не обязательно.
По служебной тайне ФЗ не принят. Термин служебной тайны абстрактно сформулирован в п.3 Указа президента № 188 (из ГК статью 139 исключили, ФЗ такого нет) и в п. 1.2 ПП № 1233. Но это ведь не законы.. Я согласен что компьютеры, обрабатывающие информацию с пометкой "ДСП" должны быть защищены. Но обязательного требования об аттестации данных компьютеров, я не нашел. Все как то абстрактно, натянуто, и зависит от того, с какой стороны смотреть.

" Все как то абстрактно, натянуто, и зависит от того, с какой стороны смотреть."

В случае нежелания делать конечно же все становится натянуто...

СТР-К наверное тоже не указ?

Дак напишите основному регулятору официальное письмо? По типу у нас такая то система с такой то информацией нужна ли для нее обязательная аттестация?
Если да то на основании чего?
Ну и получите ответ... А рассуждать можно до скончания...
Думать надо что сделать что бы все было, а не что бы ничего не делать и ничего за это небыло!

sekira | 36034
"В случае нежелания делать конечно же все становится натянуто..."
Желание делать есть. Только есть желание разобраться и понять - все ли действительно юридически верно и законно. Я ведь не отказываюсь что защищать необходимо. Но защитить применив средства защиты и орг меры мы можем и сами, а вот получить аттестат - это более затратно, с привлечением сторонних организаций лицензиатов.
СТР-К один из основополагающих документов..требования и рекомендации. и там говорится что объекты информатизации подлежат обязательной аттестации. п. 2.17 То есть на этом основании мы, как ОМС обязаны именно аттестовывать силами сторонних организаций все компьютеры, на которых обрабатывается информация ограниченного распространения. Принятия мер по ЗИ с составлением актов установки-настройки сзи будет недостаточно. Ну тут согласен . Признаем комп объектом информатизации, и аттестуем его силами организации-лицензиата.
Вобщем вывод. Главное - наличие Перечня служебной информации ограниченного распространения и обработка информации, попадающей под пункты перечня на Аттестованных Объектах Информатизации. А то, какая пометка будет стоять на изготовленных документах - "ДСП" или "Конфиденциально" или еще какая то - мы определяем сами и утверждаем эту процедуру в разработанном и принятом в нашей организации "Положении о работе со СИОР"

Именно, что КАтегорически.
Дело обстоит примерно так:
1. Есть Институт "система защиты информации и противодействия ИТР". Вскользь о нем упоминается в законе о гостайне. Краеугольным камнем этого института является ППР-совмина 912-51 (аКа "Красная книга").
2. Объектом этого Института является Гостайна и ДСП (служебная информация ....)
3. Режим Служебной информации огр. распр.==ДСП (!ФСБ и ФСТЭК считают что это тождественно равные вещи!) вводится в порядке ППР 1233.
{заметьте, здесь речь идет о документах, содержащих НОРМЫ ПРАВА, в отличие от СТР-К, который является Организационно-РАспорядительным документом ФСТЭК}

Т.е. Имея сведения, в отношении которых, в порядке ППР 1233 введен режим Служебной инфомации огр. распр. вы ОБЯЗАНЫ выполнять требования ППР 912-51.
А по поводу пометки ДСП - как вы докажете, что носитель её содержащий не содержит Служебной Информации Ограниченного распространения ОГВ?
{это ПРосто ПРобел. И чтоб его закрыть регулятор должен "обобщать"}

Другое дело, что, вроде бы, ДСП достаточно просто защищать. Достаточно иметь сертификаты по ЭМГ совместимости и санитарно-гигиенические (если ничего не путаю; лучше уточнить в вашем ФСТЭК). Хотя, если подходить строго, то: сертификация+аттестация, как это описано в

http://www.fstec.ru/_docs/doc_2_2_011.htm
(правда, этот документ не имеет статуса НПА ;-) )

Указ президента 188 о перечне конф....хм... вообще хрень. Если внимательно вчитаться, то там очень ограниченная сфера действия:
1.Только для ФОИВ, Правительства РФ, Президента РФ
И
2. Только в рамках "дальнейшего совершенствования порядка опубликования и вступления в силу НПА".
Не вижу, как такая конструкция могла бы законно "правоприменяться".

Закона о Служебной тайне не будет. Представте себе: есть Государственная тайна, Есть налоговая тайна, Есть банковская тайна и т.д. И тут появляется Служебная тайна...
Т.Е. это означает признание, гос. и муниц. управления как особой сферы деятельности, требующей ограничения распространения сведений о ней.
Это прямо противоречит Конституции и, например, Федеральному закону Российской Федерации от 9 февраля 2009 г. N 8-ФЗ.

Во всей этой куче Хрени можно запросто утонуть. Разбираться особого смысла тоже нет. Всеравно сплошные Дыры и Коллизии.

ПРоще всего не мучаться и максимально сократить количество СОИВ==ДСП

Ведь НЕ Обязательно ФОРмализовывать систему СОИВ, которую создал Ваш ОМС и которая не подпадает под ППР-1233.

Пардон, опечатался:
СИОВ надо читать СИОР

Пока не все темы заблокированы и отправлены в архив, как например "Грифы и (или) пометка ограничения доступа на материальных носителях информации", привожу одну из последних новостей по этому вопросу:

https://topwar.ru/174118-minoborony-predlagaet-zasekretit-vsju-informaciju-po-oboronnoj-sfere.html

Минобороны предлагает засекретить всю информацию по оборонной сфере

Вся информация об оборонной сфере, не являющаяся государственной тайной, должна относится к конфиденциальной и иметь статус служебной тайны. С таким предложением выступает Минобороны, соответствующие поправки размещены на портале правовой информации.


Предлагаемый военным ведомством законопроект должен перевести всю информацию, не имеющую статус гостайны, в категорию служебной тайны, тем самым исключив утечку данных конфиденциального характера и установить ответственность за ее разглашение.

Мероприятия, которые проводятся в РФ по ограничению доступа к информации в области обороны (в том числе в отношении государственного оборонного заказа), не отнесенной к государственной тайне, не позволяют ограничить ее распространение в открытых источниках. В результате в СМИ периодически попадает служебная информация, касающаяся организации обороны государства, в части создания вооружения и военной техники, финансового состояния и хозяйственной деятельности и т.п.

- говорится в пояснительной записке к законопроекту.

Таким образом, информация оборонного характера, не относящаяся к гостайне, должна быть отнесена к конфиденциальной и охраняться так же, как семейная, адвокатская или врачебная тайны. За разглашение служебной тайны предлагается ввести уголовную и служебную ответственность.

К служебной тайне, по мнению авторов законопроекта, не будут относиться сведения, по которым у России взяты международные обязательства по открытому обмену. Полный перечень сведений, составляющих служебную тайну, будет утверждать руководство страны.

Ну предложило МО ввести, как Кибальчиш, понятие "военная тайна" (поскольку не способны они разработать закон о служебной тайне для всех ведомств).
Пока этот проект не пройдёт хотя бы первое чтение, его ценность ниже, чем постов в этом форуме, поскольку здесь обычно морально отвечают за возможные последствия применения его мнения.