Автор: Татьяна | 110042 | 08.06.2022 12:46 |
Добрый день! Подскажите пожалуйста, во исполнение приказа №77 от 29.04.2021 г. все аттестованные объекты должны раз в 2 года отправлять в территориальный ФСЭК протокол контроля защиты информации на аттестованном объекте. Как это делается? Где можно посмотреть образцы данных протоколов?
Мы являемся образовательным учреждением (сдаем данные в ФИС ФРДО). Прошли аттестацию, подключен Vip Net и лицензионный антивирусник. Нужно ли нам сдавать такой протокол. Обязаны ли мы иметь тех. сопровождений сторонних организаций занимающихся аттестацией объектов защиты (очень часто приходят коммерческие предложения в которых сообщают, что это обязательно). |
Автор: nekto | 110043 | 08.06.2022 14:04 |
В аттестате у Вас указаны нормативные документы которым соответствует ваша ИС (например требованиям ПП 1119, требованиям утвержденным приказом ФСТЭК №21, требованиям утвержденным приказом ФСТЭК №17...).
Периодическая оценка уровня защиты информации - это оценка соответствия ИС требованиям указанных в аттестате документов.... |
Автор: oko | 110047 | 08.06.2022 20:35 |
to Татьяна
Primo, 77 Приказ говорит тупо: владелец должен проводить контроль, по результатам которого оформляются протоколы. Никаких запретов на привлечение к этому делу лицензиатов не указано. Вывод: если владелец по своим соображениям хочет перепоручить контрольные мероприятия лицензиату - он в своем праве; не хочет и может провести самостоятельно - он тоже в своем праве... Secundo, образцов протоколов публично никто не раздавал (ФСТЭК тем более), так что в произвольной форме. Логично оформлять их по стилю протоколов ранее проведенных аттестационных испытаний (без разработки программы и методики, а также с несколько другими целями и задачами)... Tertio, вам бы для начала следовало решить другие две задачи: являетесь ли вы сегментом ФИС, на которую распространяется аттестат (если являетесь, то что по поводу 2-годичного контроля говорит "голова", читай владелец/оператор ФИС?) и есть ли запись в реестре аттестованных объектов ФСТЭК о вашей системе (если аттестация была в 2020 и ранее - не факт). А заодно, не изменился ли ваш объект настолько, что требует проведения повторных полноценных аттестационных испытаний... Last, тех.сопровождения в вопросах аттестации не бывает (за исключением случая долгоиграющего контракта, но тогда все условия, включая сопровождения, в нем уже оговорены заранее и до проведения аттестационных испытаний). А лицензиатов, рассылающих письма об "обязаловке-сопровождения-аттестационного-объекта-от-лица-нашей-левой-но-замечательной-конторы", imho, стоит подшивать в единый реестр. Который позже предоставить во ФСТЭК и в прокуратуру... ЗЫ Хохма в другом: владельцем объекта может являться совсем не та организация, которая объект эксплуатирует (оператор) и которую обязали выполнять требования о защите информации на объекте. Вот тут куда как более интересный вопрос с точки зрения "буквы" 77 Приказа, ага... |
Автор: Денис | 110048 | 09.06.2022 05:52 |
to Татьяна.
* очень часто приходят коммерческие предложения в которых сообщают, что это обязательно * Пошлите их .., а лучше потребуйте официальное письмо о такой необходимости и направьте его в их территориальный ФСТЭК. -- Протокол можете сдавать Вы, а может и лицензиат. У нас лично так в регионе. Да, такой протокол = протокол/заключение аттестационных испытаний. +- |
Автор: sekira | 110049 | 09.06.2022 08:16 |
то nekto...
"Периодическая оценка уровня защиты информации - это оценка соответствия ИС требованиям указанных в аттестате документов..." А где это написано? И каких документов? |
Автор: nekto | 110051 | 09.06.2022 14:45 |
to sekira
> А где это написано?... Да Вы правы, в 77 приказе написано - не периодическая оценка уровня защиты, а периодический контроль уровня защиты... |
Автор: sekira | 110052 | 10.06.2022 07:07 |
"Да Вы правы"
Да я ващее ниче ни говорил...:))) Просто порядок данных работ "белое пятно" НМД вот я и подумал где-то есть и я что-то пропустил? |
Автор: CM | 110053 | 10.06.2022 09:12 |
to sekira:
> Просто порядок данных работ "белое пятно" НМД Какой считаете нужен "порядок от регулятора" для проведения контроля, в котором он не задействован? Предоставление результатов контроля регулятору сюда не относится, поскольку это является частью Порядка, утвержденного приказом от 29.04.2021 № 77. Чисто "внутреннее" мероприятие, абсолютно рабочий момент при эксплуатации системы. На мой взгляд какой-то необходимости в "порядке от регулятора" для периодического контроля нет. Для его проведения достаточно приказа о комиссии с программой (программой и методикой) контроля. |
Автор: oko | 110054 | 10.06.2022 10:04 |
to sekira
+100500 to CM Конечно, белых пятен нет - это все *вырезано* тупые лицензиаты */вырезано* пятная на Солнце: - почему должны быть приказ и ПиМ в рамках 2-годичного контроля? и почему именно от лица владельца системы? в 77 Приказе об этом ни слова, и уже сталкивался с юр.отделами Заказчика и их запросами "а на каком основании!?"... - если у владельца нет своих специалистов от слова вообще - ему тоже самостоятельно разрешается проводить контроль по принципу "хоть как-нибудь"? - в рамках этого контроля "инструментальность" учитывается? и тоже владельце самостоятельно? хрен с ним, с ПЭМИН, но если объект = ЗП? - каковы границы этого контроля "по глубине" (т.е. тупо проверили конфиги МЭ как части КСЗ, но "левые" каналы связи искать не стали; или наоборот заказали полноценный пен-тест, а вот режимные меры как не исполнялись, так и проигнорировали; и т.д., и т.п.)? Вишенка на торте: объект создавался при участии нескольких Министерств в рамках какого-то нац.проекта, т.е. Оператор - солидная контора-исполнитель (эксплуатант), а Владельцев у системы де факто много (и ни один за нее полноценно отвечать не хочет). Бурные были деньки, ага. В этом гэнг-бэнге еще и уважаемый лицензиат поучаствовал. Прошло два года и, как водится, система подросла, только маменьке, извиняюсь, Оператору теперь вообще не ясно, что с ней делать и, главное, кого из отцов, читай, Министерств привлекать к ответственности. Хотя бы в рамках в качестве алиментов пусть назначает и направляет результаты контроля во ФСТЭК согласно 77 Приказу, не так ли? ЗЫ Понаберут в Дозор слепых, глухих, читать не умеющих... (с) |
Автор: sekira | 110055 | 10.06.2022 12:02 |
"для проведения контроля, в котором он не задействован? Предоставление результатов контроля регулятору сюда не относится !!!!, поскольку это является частью Порядка, утвержденного приказом от 29.04.2021 № 77"
пр. 77 ...34. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае: в) непредставления протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка... |
Просмотров темы: 4055