Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 7 8 9 10 >

Автор: oko | 109601 21.10.2021 14:51
to Константин
А откуда дровишки? И официальные ли они?
Так-то у нас все, что не задокументировано, можно трактовать по желанию. Задокументированное, к сожалению, тоже, но реже, ага...

Автор: Александр, ОАО "НИИ Электромера" | 109603 22.10.2021 11:28
Уважаемые коллеги! Мы являемся лицензиатами ТЗКИ с правом проведения аттестационных испытаний. У нас на предприятии имеется несколько своих ИСПДн, которые мы аттестовывали собственными силами (согласно лицензии).
Теперь же с выходом приказа ФСТЭК №77 от 29.04.2021 - получается что лицензиат не может проводить аттестацию собственных объектов?

Автор: Денис | 109604 24.10.2021 07:50
to Александр.

Может. У ФСТЭК спрашивал.
Главное, чтобы все разные люди делали, согласно 77 приказу.

Автор: Константин | 109605 25.10.2021 09:45
2 oko
Дровишки из ФСТЭКа

Автор: oko | 109612 25.10.2021 20:57
to Константин
Да оно понятно, что не из ЦРУ. Но как к таким заявлениям регулятора (не в виде оф.инфосообщений, прошу заметить) относиться - не ясно...
Без шуток, правда. Вопрос-то каверзный: с одной стороны неплохо съэкономит бюджет гос.организациям, "успевшим" аттестоваться "до". С другой, при таком раскладе оные ОИ никогда не попадут в реестр, отныне ведущийся ФСТЭК России. Как-то оно стремно получается...
И потом, прошерстил память. Вроде как "три года" в ГИС были отменены Приказом №27 в 2017 г. (изменения в Приказ 17) - стало "пять лет" (далее следующим приказом в 2019 г. стало "бессрочно"). Тогда возникает еще один вопрос: как объект, аттестованный до февраля 2017 г. "на три года", сумел дожить до сегодняшнего дня без повторной аттестации? Или речь все-таки не про "на три", а "на пять" (читай, аттестовались в 2017-2019 гг. между изменениями)? Где-то тут кто-то явно ошибся, ага...

Автор: Константин | 109617 26.10.2021 14:32
2 oko
По редакции 17 приказа от 17 года срок действия аттестата "не может превышать 5 лет", поэтому могли и выдали на 3 года. Выдали как раз до вступления следующей редакции от 19 года с бессрочными аттестатами. Поэтому в 22 году истекает срок 3х летнего аттестата. Сказали готовят офиц. ответ, но это региональный уровень.

Автор: oko | 109618 26.10.2021 18:39
to Константин
Жесть какая. Т.е. выдать, положим, на несколько месяцев (в период эксплуатации особых АС/ИС) - это одно. Но что бы вместо 5 лет 3 года влепить... Хотя да, ситуации разные бывают, согласен...
Т.е. ребята аттестовали объект "на три года" в январе (край, в самом начале февраля) 2019 г.? Экие затейники...
Пусть готовят, хотя, imho, для "трехгодичных" АС/ИС смысла мало - все они истекут в январе-феврале 2022, и, модуль экстрасенсорики подсказывает, что либо оф.письмо не успеет, либо народ уже запланировал повторную аттестацию. Вот для "пятилеток" подобный финт был бы оправдан. Конечно, с ремаркой, что по окончании первичных 5 лет нужно бы полноценно проверить корреляцию того, что было указано в аттестационке, с реалиями объекта и, главное, с текущими положениями регулятора. А далее подать аттестационку (и требуемую по 77 Приказу информацию) в местное УФСТЭК России. С дальнейшей обязаловкой протоколов контроля каждые 2 года и т.д. и т.п. Так, кажись, было бы логичнее всего...
Прошло несколько недель

Автор: sekira | 109642 19.11.2021 13:35
Приказ Федеральной службы по техническому и экспортному контролю от 5 августа 2021 г. N 121 "О внесении изменений в Положение о системе сертификации средств защиты информации

13. Пункт 63 изложить в следующей редакции:

"63. На основании сертификата соответствия заявитель организует маркирование средства защиты информации идентификатором, состоящим из прописных букв и групп цифр, разделенных точками, который имеет вид: РОСС RU.01.XXXXX.XXXXXX.
Прошло несколько месяцев

Автор: tatu, ДАИГ | 109928 19.04.2022 10:59
Здравствуйте. По приказу 77 ФСТЭК п.33.
Подскажите при каких случаях при модернизации аттестованной ИС необходимы дополнительные аттестационные испытания? Что имеется ввиду под "программных, программно-технических средств и средств защиты информации"? Изменение любого ПО на ПК? Или только при изменении СЗИ? В общем в каких случаях мы должны приглашать организацию-лицензиат, а в каких имеем сами право внести изменения в техпаспорт?

Автор: СМ | 109929 19.04.2022 12:47
to tatu, ДАИГ:

В силу пункта 4 (г) Положения, утвержденного постановлением Правительства РФ от от 3 февраля 2012 года № 79, и аттестационные испытания и аттестация являются лицензируемыми видами деятельности. Так что формально без лицензиата ФСТЭК самостоятельно проводить любые виды аттестационных испытаний (дополнительных или не дополнительных) будет неправомерным.
Официальных пояснений от ФСТЭК по "новелле" дополнительных аттестационных испытаний (АИ) не встречал. В случае острой необходимости рекомендую направить запрос в центральный аппарат ФСТЭКа.
Думаю, что рассматривать требования пункта 33 стоит в целом (а не только первый абзац), а также учитывать, что регулятор под системой защиты информации (СЗИ) понимает организационные и технические меры, а не только средства защиты.
Пункт 33 говорит о 2-х возможных вариантах развития (модернизации) объекта информатизации (ОИ), по результатам которых либо должны проводиться дополнительные АИ либо повторная аттестация объекта. Признаки повторной аттестации подразумевают глобальные изменения СЗИ ОИ и поэтому будут определяющими. Т.е. если нет "повышения класса защищенности (уровня защищенности, категории значимости) ОИ и (или) изменения архитектуры СЗИ ОИ...", то по результатам такого развития (модернизации) ОИ надо проводить дополнительные АИ. Если эти признаки есть, то повторную аттестацию.

Страницы: < 1 2 3 4 5 6 7 8 9 10 >

Просмотров темы: 16228

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*