Контакты
Подписка
МЕНЮ
Контакты
Подписка

Проверка ФСТЭК - Форум по вопросам информационной безопасности

Проверка ФСТЭК - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: B. Beccer | 109136 01.04.2021 17:19
Приветствую коллеги, в организации планируется проверка ФСТЭК.
Подскажите что будут проверять, на что акцентировать внимание, какие нпа смотреть и как это все происходит.
Какие последствия могут быть.
Добавлю что мы госорган, обрабатываем ПДн, обязанности адм безопасности и обеспечения безопасности ПДн на сис админах, проверка как я понимаю внеплановая (в плане не нашли).

Автор: Денис | 109140 02.04.2021 17:52
Вопрос, мне кажется, больше к Вашему лицензиату (у Вас же аттестована система? Испдн/гис/мис?).

Правила и процедуры срзи, матрицы доступа, описание техпроцесса, акты классификации, техпроект системы защиты информации, установленные сзи, сертификаты их действительные должны быть.

Приказы сразу подготовьте, где назначаются администраторы безопасности.

Вообще следуйте мерам защиты и все будет ок.

Грозит - в худшем случае коап. Может кого уволят после этого.
В лучшем - месяц-два на устранение недочетов.

Автор: B. Beccer | 109142 03.04.2021 10:39
На ИСПДн одно рабочее место аттестовано, хотя по факту в этой системе работают с гораздо большего количества мест. Средства не выделяют на дополнительную аттестацию, а работать с одного рабочего места это не возможно

Автор: B. Beccer | 109143 03.04.2021 10:40
Правильно понимаю, что прилетит нашим админам в случае чего

Автор: oko | 109145 04.04.2021 10:50
to B.Beccer
Прилетит всей организации в целом через ее непосредственного руководителя. Дальше уже прилетит руководителям подразделений, отвечающих за обработку ПДн. И вашим безопасникам, если такое подразделение имеется...
Если под админами имеете в виду обычных системных администраторов, которые каким-то левым приказом заимели честь стать "администраторами безопасности ИСПДн" (с обязательным уведомлением под роспись, дополнениями к внутреннему регламенту и должностным обязанностям и т.д., и т.п.), то модуль экстрасенсорики подсказывает, что руководство скинет всех собак именно на них. Хотя системный администратор к защите ИСПДн по умолчанию имеет скорее косвенное, чем прямое отношение. А подобный подход (с собаками и приказами) - практика порочная и неверная в корне...

Автор: Vlad | 109150 05.04.2021 22:17
Перед проверкой, ФСТЭК, как правило, заранее направляет перечень документов, которые необходимо предоставить/подготовить. Перечни документов в рамках СТР-К, Приказов 17 и 21, положений по лицензированию (если проверяют соблюдение лицензионных требований) и других документов ФСТЭК. Нужно максимально полно и даже более, собрать все эти документы, а если доков нет в наличии, то оперативно оформить/подписать/утвердить. Иначе, придётся всё делать прям в процессе проверки, чтобы хоть как-то смягчить предписание.

Если проверка внеплановая, то, скорее всего, будут проверять серьёзно, т.е. одной лишь документальной проверкой не обойтись. Готовьтесь к тому, что в сеть с аттестованной ИС будут запускать сканер безопасности (например, "Сканер-ВС", "XSpider" или т.п), будут выборочно проверять настройки СЗИ на АРМах, серверах, будут проводить опросы админов/пользователей. Если протухла лицензия на какой-нибудь SecretNet, не обновлены базы сигнатур на антивирус, на аттестованном АРМе в реестре WIndows обнаружилась подключенная флэшка, не внесённая к перечень разрешенных отделяемых носителей, то готовьтесь к замечанию. Забыли про 2-х-факторную авторизацию - замечание. Не назначили админов (системных, ИБшных) - замечание. Не оформили матрицу доступа, разрешительную систему допуска исполнителей - замечание. Обрабатываете конфу и нет аттестованной АС (автономного АРМа) для этого - замечание. Не учли конфиденциальный документ соответствующим порядком, не поставили на нём штампик и не обеспечили надёжное хранение - замечание. Не проверили обучение пользователей, повышение осведомлённости по вопросам ИБ - замечание. Протухли сертификаты соответствия на СЗИ или нет техподдержки на СЗИ - замечание.

В общем как-то, на деле всё ещё хуже, само собой. Спецы в ФСТЭК пошли грамотные (и это радует, честно), много молодёжи, которая технически подкована. Это не как раньше, когда проверяли в основном документы, а техническая сторона дела отходила на второй план.

Автор: ASCII, webim.ru | 109176 12.04.2021 13:20
Коллеги, подскажите пожалуйста, как заставить организацию соблюдать требования ФЗ-152 в частности. Компания предоставляет продукт обрабатывающий пдн. Никакой сертификации не прошла. Процессов иб нет как класса,

Автор: Alex_kl | 109177 12.04.2021 14:01
Автор:
ASCII, webim.ru

А что есть продукт этой компании? Голое приложение, в котором кто-то будет что-то обрабатывать? Тогда никак, ответственность за обработку и защиту ПДн - на операторе, а не на разработчике (разве что не покупать их продукт).
Если она у себя обрабатывает с нарушением законодательства - Роскомнадзор/прокуратура/суд

Автор: Денис | 109178 12.04.2021 16:23
Соглашусь с Alex_kl и добавлю:
если организация не гос орган - забудьте и простите.

Просмотров темы: 556

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*