Контакты
Подписка
МЕНЮ
Контакты
Подписка

IT-инфраструктура в бюджетной организации - Форум по вопросам информационной безопасности

IT-инфраструктура в бюджетной организации - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Baraddur, Evel | 107664 16.12.2019 14:13
Добрый день!
Господа, прошу подсказки в систематизации информации по теме ИБ.

Предприятие: Государственное автономное учреждение, сфера культуры.
IT- инфраструктура в плачевном состоянии, планируется полная модернизация ("недоЛВС") в КСПД и приведение к комплексной IT-инфраструктуре,но встал вопрос о действующей нормативно-правовой документации Российской Федерации в области защиты информации.
Тут то я и увяз в чтении законов, приказов, положений и прочего, ранее я не сталкивался с бюджетной организацией и я не сталкивался с организацией ИБ.

А теперь прошу помощи разобраться!
1. Мы государственная организация, есть сотрудники, значит есть ПДн, значит мы оператор ПДн? Потому что оперируем, храним, копируем и пр.
2. У нас хранится, обрабатывается, передается информация. Мы ИС ? (тут я уверен что да!)
3. Бух. учет переведен с нашего сервера на работу в облако, есть электронный документо-оборот (По этому пункту я определил нас как оператора ГИС, но позже мне предоставили технический регламент к договору с "Посредником", оператором. В регламенте указанно что мы Участник, а он оператор ГИСа). подключены по випнету. В регламенте есть требования по организации мероприятий: Ответственные, учет, перечень документов т.д. (Бумажная ИБ)
Нужно ли создавать "модель угроз" перед этими документам?
Нужно ли при планировании КСПД, включить в перечень сетевых устройств, только лицензированное ФСТЭКом оборудование, или хватит только разграничить сети лицензированным устройством, а за ним будут практичные и общедоступные устройства?
Вот такая каша по трём пунктам, прошу помочь истолковать и определить наше место в пищевой цепочке))))

Автор: Практик | 107667 16.12.2019 17:38
2 Baraddur

С бухгалтерией проще всего: оператор "внешний", и он вам диктует набор организационных и технических требований. Там и модель, и выбор средств - его заботы.
Свои БД и прочие ресурсы вы должны инвентаризовать (лучше с привлечением лицензиата ФСТЭК, иначе бюджет и штаты в вашей служебной записке порежут) и подготовить план организации ИС. То есть, какие мероприятия проводить, как упорядочить ресурсы.
И вот для упорядоченной системы разрабатывать модель, набор технических мер и пр.
Реально это затягивается года на 2-3 в идеале (по выделению финансов) Поэтому без разбивки на этапы всё устареет до начала работ

Просмотров темы: 335

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*