Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 7 8 9 10 >

Автор: Джем | 109387 21.07.2021 17:22
Берём аналог из Порядка под НГТ (Приказ №77 2021)
8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.
Назначение экспертов органа по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.

Автор: WORM, МК | 109388 22.07.2021 10:15
Роман,
речь идет не о юрлице, а о специалистах. Одни проектируют, другие аттестуют.
Проще говоря, в бумажках должны стоять правильные фамилии.
Прошла пара недель

Автор: Фомв | 109426 11.08.2021 12:25
Вот и опубликовали
Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77"Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну"
(Зарегистрирован 10.08.2021 № 64589)
http://publication.pravo.gov.ru/Document/View/0001202108100027?index=3&rangeSize=1

Автор: Павел, ООО "СКБ" | 109447 17.08.2021 16:53
Вопросы по Порядку аттестации объектов информатизации НГТ (Приказ №77 2021)

1. В п.3 порядка перечислены объекты, на которые он распространяется. Это ГИС, МИС, ИС ВПК... и там же ВП. В контексте п.3 по логике речь идет о ВП относящихся к органам власти и ВПК... или всё таки ко всем ВП без исключения?

2. В п.8. говорится, что "При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации".

Что подразумевается под независимостью экспертов от владельца объекта? Лицензиат не может проводить аттестацию собственных объектов?

В тоже время, в п. 6. говорится, что "По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками) этого органа, ответственными за защиту информации...".

Работники структурного подразделения ОИВ не являются независимыми от его руководства, но могут проводить аттестацию собственных объектов?

Прошу разъяснить.

Автор: nekto | 109461 23.08.2021 14:47
Подскажите знающие люди, в связи с положением, утвержденным 77 приказом:

На соответствие какому документу будут проверяться Защищаемые помещения, в новом положении СТР-К не упоминается....

Автор: oko | 109464 23.08.2021 15:59
to Павел
ЗП, а не ВП, не ГТ же все-таки...
Вот с независимостью в случае подведа - это да, забавно. Модуль экстрасенсорики подсказывает, что тут ситуация аля другие приказы регулятора - сотрудники, выполняющие работы по аттестации, не должны быть напрямую подчинены руководству подразделения, объекты которого они аттестуют...
И вроде как объекты лицензиатов "чисто для себя" идут по другой схеме - либо в разрезе всех правил оформления лицензии, либо вообще никого особо не интересуют. Хотя да,тут смешное противорече 77 Приказу получается, если, положим, решили расширить количество ИС для мониторинга или КОНФИ у себя...
Вообще, imho, при аттестации какого-нибудь правит.объекта, даже если ты из частной конторы, вопрос "невлияния" вообще весьма спорный и условный, ага...

to nekto
С учетом того, что никаких иных НМД по ЗП в природе нет за исключением оговорок в требованиях тех же 17, 21 и т.д. приказов (если что-то проспал, прошу не кидаться камнями), придется лепить горбатого по старой схеме. Со всеми вытекающими противоречиями аля "как оценить САЗ", "что применять" и "едят ли курицу руками", ага...

Автор: Дмитрий | 109467 24.08.2021 16:42
п. 15б - по ГИС должно быть согласованное ТЗ с ФСТЭК. И ссылка на п.3 676 ПП. А там уточнение, что ТЗ на ГИС подлежит согласованию с Минцифрой, если бюджет больше 100 млн.
В итоге - согласование с ФСТЭК или Минцифрой. Или вместе?
И еще - обязательное согласование в соответствии с 15б Приказа или с учетом нюансов п.3 676?

И самый критичный пункт - п. 29... И он без указания срока!!! Как так??? Сколько? Сколько с...ка дней любимый ФСТЭК будет елозить и мусолить документы?

Автор: Денис | 109471 25.08.2021 11:11
Доброго бытия Всем господа! Что тут сказать? Слов нет! Они п.32 не указали, а в п. 34 ссылаются на него! Интересно чем в минюсте занимаются?

Автор: oko | 109472 25.08.2021 11:38
to Денис
В сущности, это вполне достаточное основание считать приказ 77 в текущем виде нелегитимным и отказаться от его использования. С обоснованием в судебном порядке. Нужен только "толстый" заказчик, храбрый лицензиат, толковый юрист и прецедент...
А дальше сроки переработки и пересогласования документа отсрочат его силу примерно на полгода-год. И, авось, позволят внести правки, в которых он ой как нуждается (описание понятия "доп.атт.испытания", отказ от кабальных сроков предоставления документов, уточнение сроков экспертизы, разрешение лицензиату отзывать Аттестат через заявление в УФСТЭК аналогично владельцу, переработка текущих усредненных форм документов в приложении, наименование этих форм "типовыми", чтобы избежать глупости и подлости со стороны негодяев-лицензиатов и негодяев-заказчиков и многое, многое другое)...
Вопрос в том, кто на этой пойдет? Хотя, imho, суетиться надо было еще вчера, товарищи...

Автор: Денис | 109475 25.08.2021 14:53
Коллеги, помогите! В п. 15.б Порядка Приказа 77 Указано, что проверку наличия Модели угроз и т.д., обязательно осуществлять только для ГИС, как я понял. Для ИСПДн и ОКИИ не проверяем? Или тут не на наличие акцент, а на согласование? В части ИСПДн выход понятен, а для ОКИИ?

Страницы: < 1 2 3 4 5 6 7 8 9 10 >

Просмотров темы: 16825

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*