Контакты
Подписка
МЕНЮ
Контакты
Подписка

Периодический контроль защищенности ГИС - Форум по вопросам информационной безопасности

Периодический контроль защищенности ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Сергей, ИнфоЦентр | 109171 09.04.2021 15:10
Добрый день, коллеги.

1. Какие мероприятия необходимо проводить при периодическом контроле за обеспечением уровня защищенности информации, содержащейся в государственной информационной системе (пункт 18.7 17 приказа ФСТЭК России)?

2. Какой документ оформляется по окончанию работ (протокол/акт)?

3. Что делать в тех случаях, если в БДУ появились новые угрозы, а в частной модели угроз их нет (во время ее написания их еще не существовало)?

4. Что делать, если Оператор ИС хочет изменить состав ОТСС в аттестованной ИС?

Надеюсь на Ваш исчерпывающий ответ.
Спасибо.

Автор: oko | 109172 09.04.2021 19:06
to Сергей
1. Проверять, что ИС выполняет требования (те, которые конкретно для этой ИС прописаны), класс не изменился, требования не изменились (и те, которые для ИС по результатам проектирования; и те, что базовые из 17 Приказа в случае его изменения регулятором, например), угроз не добавилось/не актуализировалось, модернизация не произошла и т.д.
2. Если самостоятельно, то в произвольной форме (рекомендуется Акт от ранее назначенной комиссии). Если с лицензиатом (рекомендуется) - узнавайте у лицензиата.
3. Как бэ ясно, что перерабатывать Модель (что и без того нужно периодически делать), рассматривать новые угрозы для своей ИС, делать выводы, при необходимости модернизировать КСЗИ и проводить новую оценку защищенности.
4. Оператору следует связаться с лицензиатом, выдавшим Аттестат соответствия. А для начала заглянуть в текущий Аттестат (и Предписание на эксплуатацию, если есть) и подумать, нарушают ли его хотелки условия действия текущего Аттестата.

ЗЫ Вы б хоть форум почитали для начала. Большинство вопросов уже неоднократно обсуждалось...

Автор: Сергей, ИнфоЦентр | 109173 10.04.2021 15:34
to oko

Добрый день. Спасибо за ответ.

3. Модель угроз правильно обновляется каким-то актом дополнения модели угроз или же можно просто раработать и утвердить новую МУ, в замен прошлой? речь об аттестованной ИС

Автор: oko | 109174 10.04.2021 17:44
to Сергей
Зависит от масштаба изменений. Или, например, от необходимости переработать ЧМУ под новые нормативы регулятора (к примеру, под новую Методику оценки УБИ 2021)...
Если формат и принцип формирования ЧМУ не изменяется, а новые рассмотренные УБИ не затрагивают пластов описания ИС, предусмотренных предыдущей ЧМУ, то вполне допустимо и каким-либо актом с дополнениями. Чего зря бумагу переводить?
Куда веселее, когда новые УБИ оказываются актуальными и, внезапно, требуют переработки всей или части реализованной КСЗИ...

Просмотров темы: 285

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*