Лицензирование по Технической защите информации - Форум по вопросам информационной безопасности

.... Исключения могут быть только в случае "отпуск-командировка-заболел". Но и в этом случае попадет к ней же.

А если она "отпуск-командировка-заболел" то все остановится?


Про пункту д. (проектирование объектов в защищенном исполнении) рчень интересный вопрос. Это что получается, что если пункта Д нет в лицензии, то и аттестовывать с нуля нет прав? Или этот пункт для тех кто проектами деньги зарабатывает?

...если пункта Д нет в лицензии, то и аттестовывать с нуля нет прав? - вот как вам это удалось увязать в одну смысловую конструкцию?! Т.е. если виды работ разнесены в разные пункты и кабэ самостоятельны, то это кто-то для чего-то специально сделал? Или так - приколоться? И если в пункте д) есть слово "проектирование", то оно для чего там? И что оно означает? И правда ли то, что в словарях написано, а может совсем даже другое и оно переведено неправильно?

А если она "отпуск-командировка-заболел" то все остановится? - ну не всё так грустно. Но всё равно очень грустно. Составом отдела поинтересуйтесь.

«Некто» Вы задали так много вопросов, что не знаю с чего начинать.

Давайте не будем философствовать, а рассмотрим примерную, гипотетически возможную ситуацию проверки какого либо предприятия.
На пример приехал ко мне проверяющий-эксперт, неукоснительно придерживающийся букве НМД.
У нас в лицензии нет пункта «Д», но мы сами создали и аттестовали ОИ.
Естественно въедливый проверяющий сразу заявляет – вы нарушили пункт 3.7 СТР-К, в котором расписаны рекомендуемые стадии создания СЗИ на ОИ и включают в себя:
- предпроектную стадию
- стадию проектирования
- стадию ввода в действие СЗИ, которая включает аттестацию объекта информатизации на соответствие требованиям безопасности информации.

т.е. мы должны были проектирование ОИ заказать сторонней организации имеющую лицензию с пунктом «Д», применительно к нашему объекту и потом внедрить его или первоначально полностью аттестовать объект сторонней организацией, а в последствии переаттестовывать его сами но не отклоняясь от проекта.
На наше возражение, что СТР-К и стадии создания только рекомендуемые, мы получаем ответ – если у вас есть другая, взамен СТР-К методика создания ОИ, согласованная со ФСТЭК, можете делать по ней. Пока ее нет, относитесь к рекомендациям СТР-К как обязательным и неукоснительным.

Это просто придуманная ситуация, но кто даст 100%, что какой то умный эксперт не будет трактовать так законодательство и НМД.

А может в заявлении заявляться только на реально нужные и подтверждаемые рабоы? Если про лишнее - про пижонство забыть, то и проще процесс пойдет, меньше работ - проще лицензионные требования выполнить!

Если речь идет о коммерческой организации, про СТР-К можно вообще забыть и не вспоминать.

БТР,
Давайте не будем философствовать - это вы правильно предложили.

Это просто придуманная ситуация - и тут вы совершенно правы.

Практика, как известно, критерий истины. Так вот: практика ваши умственные построения не подтверждает. Даже в виде исключений из общего правила.
Поскольку проектирование процесс формализованный, описанный в ГОСТах, имеющий ряд этапов и стадий, то развертывание системы защиты на защищаемой АС или в помещении, даже если вы набросали некую схемку от руки или в вами любимом MS Visio, ни разу на него не тянет. Это означает, что и спрашивать с вас контролёры этого никогда не будут. И не надо из проверяющих, и тем более экспертов, делать монстров, которые элементарных вещей не знают и по врождённой злобности придираются к несчастным лицензиатам. У них поводов придраться, как жизнь показывает, и так более чем достаточно

krg
Ваше утверждение - Если речь идет о коммерческой организации, про СТР-К можно вообще забыть и не вспоминать. .... не срвсем верно

Для получения лицензии наличие СТР-К обязательно.

Если Вы постоянно, планово, периодически проверяетесь ФСТЭКом
и обрабатываете чужую "служебную информацию" тоже.

Да и как я ранеше написал:
На наше возражение, что СТР-К только рекомендуемые, мы получаем ответ – если у вас есть другая, взамен СТР-К методика создания ОИ, согласованная со ФСТЭК, можете делать по ней. Пока ее нет, относитесь к рекомендациям СТР-К как обязательным и неукоснительным.

Если Вы не подконтрольны ФСТЭКу и защищаете только свою "ком. тайну", то можно забыть СТР-К и делать что и как хотите.

В нашей организации любые недостатки внесенные в акт проверки, устраняются безоговорочно.
Зачем ругаться с уважаемыми людьми, представителями регулятора.

Согласен ругаться с уважаемыми людьми не стоит.

А по сути СТР-К

1. не проходил Минюст

2. носит рекомендательный характер (т.е. можно выполнять, можно нет) это не СТР-97.

3. Нарушения СТР-К в акте не влекут никаких мер, кроме как составления плана устранения нарушений, и потом отчет о проведенных мероприятиях.

Новые СТР и СТР-К находятся на согласовании.
Рано или поздно их согласуют.
Я не думаю, что их сделают кординально отличных от тех которые сейчас действуют - зачем создавать документ котрый повлечет изменение всех ранее принятых, но они будут уже прошедшими минюст и обязательными для всех.

По этому считаю, что СТР-К надо учитывать и систему СЗИ разрабатывать полностью по ней или максимально к ней приближенно, чтобы потом не переделывать.

скажу так, что новые документы минюст не будет проходить 100%, и в ближайшее время не появятся. в ЦА говорят, что минюст только новое ГСЗИ будет проходить, а когда это всё появиться не известно, говорят, что очень не скоро, и всё зависло на одном из этапов согласования.