Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 7 8 9 10 >

Автор: ААА | 111300 23.01.2024 12:15
Здравствуйте!
Подскажите пожалуйста, по каким руководящим документам необходимо аттестовывать ЦОД для размещения в нем ГИС по состоянию на сегодняшний день.

Автор: Влад | 111302 24.01.2024 16:19
to AAA

ЦОД аттестовывается также, как и ГИС, по приказу ФСТЭК №17.
При аттестации не забудьте, что класс защищенности ГИС не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры ЦОД (п.14.2 приказа 17 ФСТЭК).

Автор: ААА | 111303 24.01.2024 17:19
А как же приказ ФСТЭК № 77? Суть моего вопроса вот в чём: какой пакет документов готовить для Лецинзиата и по каким образцам? Подскажите пожалуйста.

Автор: oko | 111304 24.01.2024 23:25
to AAA
Если чисто под аттестацию, то все четко по Приказу 77. В минималке: ТЗ на КСЗ ЦОД (согласованное с нужными регуляторами), Модель угроз и нарушителей ЦОД (согласованная с нужными регуляторами), Акт классификации и Техпаспорт по форме Приказа 77. В максималке - то, о чем договоритесь с лицензиатом и зафиксируете в ПиМ аттестационных испытаний...
И весь ЦОД, пожалуй, будет больно жирно, муторно и дорого (как минимум с позиции последующей поддержки) подводить и, соответственно, аттестовать по тому же Приказу 17. Да и смысла не имеет, если только ГИС не отожрется со временем до поглощения ресурсов всего ЦОД, ага...

Автор: ААА | 111306 25.01.2024 11:39
Понял, спасибо за информацию. А можно аттестовать ЦОД для последующего размещения в нём ГИС, если на данный момент в нём нет обрабатываемой информации. И как это сделать, если это вообще возможно? Я так понимаю, что определенные компании это практикуют.

Автор: Практик | 111307 25.01.2024 14:49
2 ААА
Формально, аттестовать ОИ надобно до размещения в нём "боевой" (то есть защищаемой) информации. Просто потому, что аттестация и подтверждает достаточность применяемых мер её защиты.
А это значит, что отклассифицирована она уже должна быть, а вот "заливать на серверы" нельзя.
Естественно, в жизни эти процессы растягиваются))) Но "доколоться можно и до столба", особенно, если эта ИС пока не имеет части документов от вышестоящей организации, например, ТЗ на присоединение в части ЗИ

Автор: ААА | 111308 25.01.2024 16:32
Это все понятно и логично, а юридически правильно или нет, вот в чем вопрос. А ещё интересует вопрос, если в ИС обрабатывается информация ограниченного доступа и персональные данные, как проводить аттестацию ОИ, по каким критериям.

Автор: Влад | 111309 26.01.2024 08:41
to AAA
>>>А как же приказ ФСТЭК № 77?
А причём тут Приказ ФСТЭК 77? Почитайте внимательно п.3 Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (приложение к Приказу № 77), там написано на что он распространяется.

Если Вам мало приказа №17, то есть ещё ГОСТ РО 0043-003-2013.
Прошло около недели

Автор: sekira | 111327 05.02.2024 11:43
ГОСТ РО 0043-003-2012 - с 01.09.2022г. отменен без замены.

Автор: Влад | 111329 05.02.2024 14:32
>>ГОСТ РО 0043-003-2012 - с 01.09.2022г. отменен без замены.
Есть официальная ссылка на ресурс со статусом стандарта?

Документ довольно серьёзный, аналогов ему нет, не верится, что он отменён. Приказ 77 не покрывает того, на что распространялся ГОСТ РО 0043-003-2012.

Страницы: < 1 2 3 4 5 6 7 8 9 10 >

Просмотров темы: 16268

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*