Автор: Денис | 109345 | 06.07.2021 15:55 |
Добрый день, коллеги.
Столкнулись с необходимостью переустановки (обновлению Windows 7/8 -> 10) ОС на АРМ, которые входят в аттестованную по требованиям 17 приказа ФСТЭК информационную систему. Методы обработки данных не изменились. СрЗИ не изменились (только заново установливается). Может быть обновляется сразу версия СрЗИ. Считается ли корректным уведомление и согласие лицензиата о проделанных работах без необходимости проведения доп.испытаний/переаттестации ИС? Может кто со ФСТЭКом такие вопросы согласовывал или проходил проверки после таких действий. Интересует момент как со стороны оператора ИС, так и со стороны лицензиата. |
Автор: oko | 109348 | 07.07.2021 00:35 |
to Денис
Если лицензиат, выдавший Аттестат, дал добро - с вас взятки гладки, поскольку именно он принял на себя ответственность (ограниченную определенными рамками, но все же)... но... при любой проверке (и, в целом, это правда) можно заявить, что изменение ОС (вообще и конкретно на Win10) порождает новые каналы утечки, новые уязвимости, новые угрозы безопасности и вообще требует как минимум переработки Модели угроз со всеми вытекающими + подтверждения (раз уж ГИС, т.е. работы по безопасности требуют оценки и контроля со стороны именно лицензиата) корректности изменения ОС и установки/настройки СЗИ повторно... Так что для успокоения совести (если она истинно верит, что замена ОС в конкретной ГИС ничего, кроме замены ОС и обновления версий СЗИ, не несет), imho, следует пересмотреть Модель угроз, подтвердить соответствие техпроекту и неизменность техпроцесса каким-нибудь Актом и, желательно, вот это все завизировать у лицензиата (лучше всего в форме контроля эффективности принятых мер защиты - не путать с аттестацией). Так оно меньше геморроя в будущем принесет, ага... |
Автор: sekira | 109350 | 07.07.2021 08:42 |
пр.17 ...18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:
...анализ угроз безопасности информации в информационной системе; управление (администрирование) системой защиты информации информационной системы; управление конфигурацией информационной системы и ее системой защиты информации; ...контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе. и т.д...расписано же и проверено при аттестации!?? |
Просмотров темы: 881