Автор: СМ | 110184 | 07.07.2022 15:01 |
to Татьяна:
В дополнение к сказанному ранее: если есть потребность где-то отразить мероприятия по защите вновь вводимых сегментов ГИС со сроками выполнения этих мероприятий, то для этого может использовать планирование мероприятий по защите информации в ГИС, предусмотренное пунктами 18 и 18.1 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17. |
Автор: Татьяна | 110185 | 08.07.2022 07:50 |
СМ, спасибо
|
Автор: Анна | 110661 | 08.02.2023 16:29 |
Добрый день! Подскажите, пожалуйста, новичку в данном вопросе... Мы орган местного самоуправления, который имеет доступ/подключение к огромному количеству ГИСов, например, Закупки, ГАСУправление, ЕИАС и т.д.
Как мы должны рассматривать рабочие места пользователей - как ИС, ИС ПДн или все-таки сегмент ГИС. Аттестовывать или нет? |
Автор: oko | 110663 | 08.02.2023 19:44 |
to Анна
ИСПДн и ГИС - суть разные вещи, поскольку предусматривают обработку информации ограниченного доступа, содержащую суть разные сведения. Однако, могут быть случаи, когда ОИ = ИСПДн + ГИС (регулятор в 77 Приказе их явно предусмотрел, ага), могут быть ОИ = ИСПДн и другой ОИ = ГИС... В вашей ситуации бежать поперек паровоза не имеет смысла. Корректнее будет задать оный вопрос по адресу каждой ГИС, с которой у вас обеспечено какое-либо взаимодействие. И действовать согласно полученному ответу... Может статься, что какие-то ГИС ваши "рабочие места" уже предусмотрели как "сегмент ГИС", аттестовали сами и выставили вам требования безопасности, которые вы должны соблюдать при взаимодействии. А какие-то забили на этот процесс и тупо не подают вида о том, что с ними взаимодействуют сторонние организации/органы, де юре и де факто не покрытые по вопросам безопасности... В любом случае, мяч по определению требований (нарушителей, угроз, etc) к ГИС и к означенному взаимодействию всегда на стороне Владельца ГИС и Оператора ГИС, а не на вашей стороне (если только вас таким Оператором официально не признали, хотя об этом вы бы уже были в курсе). Но стоит помнить, что в случае, когда Владелец/Оператор не сподобились определить требования безопасности при взаимодействии с другими организациями/органами/системами, с этих сторон также ответственность за обеспечение безопасности не снимается. Особенно в случае явного нарушения, утечки и т.п. То ли дело, что официальных прецедентов мало и практика по ответственности кривая... |
Автор: Анна | 110667 | 09.02.2023 11:56 |
to oko
Спасибо за ответ!) Вопрос возник ввиду ожидаемой проверки, в ходе которой у нас запрашивают следующее: "Наличие документов на сегменты ГИС (технический паспорт на систему, модель угроз и т.д.)". Если я верно трактую вопрос - наши рабочие места в той же ГИС ЖКХ можно рассматривать как сегмент ГИС? Если да, то у нас все эти документы должны быть? Или если нет от Владельца/Оператор системы требований, то мы должны рассматривать наши подключения как отдельную ИС и разрабатывать эти же документы, без учета ядра ГИСа? |
Автор: oko | 110668 | 09.02.2023 20:37 |
to Анна
Еще раз: обращайтесь к Владельцу/Оператору каждой ГИС, с которой взаимодействуете, и задавайте им вопрос про сегментирование и/или регламенты и требования безопасности. Лучше них ни один аноним с форума не ответит, ага... И, если речь идет о подключении к федеральным ГИС, то, насколько знаю, из них не осталось ни одной, не покрытой хотя бы формальными требования и аттестационными испытаниями. Т.е. комплект требований и мер защиты будет при любом раскладе (то ли дело, что может быть несуразным, но вас это как абонента не волнует - если можно выполнить, то выполняйте и не ищите истины)... Если хотите перестраховаться, то, конечно, можете свои абонентские системы считать отдельной ИС-с-натянутыми-требованиями-ГИС (чтобы не носить свою систему на согласование во ФСТЭК и ФСБ в части ТЗ и Модели). Только как в такой ситуации определить корректный класс? К3? А вдруг на стороне нужной ГИС предусмотрено К2? Только базовые меры защиты? А вдруг на стороне нужной ГИС есть расширенный набор мер или часть мер вообще не нужна (обоснована)? |
Автор: Toka | 111103 | 11.09.2023 17:04 |
А может ли сторонняя организация при подключении к ГИС (в качестве пользовательского сегмента) акт соответствия пользовательского сегмента требованиям безопасности ГИС утвердить и подписать составом комиссии из числа своих работников?
|
Просмотров темы: 28918