Автор: Dfg | 64851 | 06.08.2016 16:50 |
Ну вообще если ГИС с ИОД, тот тут по любому все компоненты автоматизации должны быть с атестатами. Только аттестат от лиценциата имеет легитимность и разрешает обработку, а не некие правила в частном договоре.
Либо как то распространять свой аттестат на типового клиента, но повторюсь, клиент другой компании, лезть туда с проверками соответствия, тратить на это время и ресурсы. нафик нафик. Пусть сами озаботятся поиском фирмы и аттестовываются за свои средства. |
Автор: oko | 64854 | 06.08.2016 21:14 |
Это справедливо, когда сегмент Центр и сегмент Клиенты принадлежат гос.структурам. В случае же с Клиент=коммерч.орг., ее (организацию) нельзя заставить выполнять требования 17 приказа. Чисто юридически, ибо 17 приказ касается ИОД в гос.ИС. Вот и получается, что с такими субъектами грамотно будет составить договор о защите информации в рамках подключения к ГИС. И обязать выполнять некоторый перечень требований (орг.-реж. и техн.). В сущности - та же аттестация, только без доп.затрат на бумагомарание со стороны соответствующих лицензиатов. А также без беспокойства за то, что Клиенты на эти бумажки х** положат после выхода лицензиата за дверь их конторы. Поскольку за невыполнение требований Аттестата соответствия покарать может только регулятор (которому обычно не до коммерческих структур). А вот за невыполнение договорных соглашений - добро пожаловать в суд и на неустойку. И не важно, в части прибыли ли, в части убытков ли, или в части нежелания обеспечивать нужный уровень безопасности.
И волки сыты, и бабки целы... |
Автор: Dfg | 64855 | 07.08.2016 07:49 |
Если клиент - комерсы и вы стали сливать им ИОД, без требования аттестации, то могут уже вас натянуть за слив информации.
Заставить комерсов аттестовывать отдельные армы, обычная практика, особенно часто встречается на гос подрядах. Пусть хоть по стрк аттестовываются. Про практическую защиту речи тут нет. Даже аттестованным, но посторонним машинам доверия нет, гайки закручиваем по максимуму. |
Автор: Toe | 64958 | 16.08.2016 12:13 |
Извиняюсь за долгое отсутствие.
По пункту 17.3 приказа ФСТЭК 17 написано, что "Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации." получается надо еще делать модель угроз и нарушителя для каждого типового сегмента. С клиентами(юр лицами) будет заключен договор на обеспечение ИБ и не разглашения ИОД, обрабатываемой в ГИС |
Просмотров темы: 12023