Автор: CM | 110056 | 10.06.2022 12:54 |
to oko:
Изложенные Вами вопросы касаются ТРЕБОВАНИЙ к контролю, а с sekir'ой речь шла о ПОРЯДКЕ проведения контроля. Что касается "белых пятен" НМД, то тут вопрос скорее спорный: мы имеем дело с белым пятном, какой-то коллизией или недопонимаем требований регулятора. Так для ГИС пунктом 18 Требований, утвержденных приказом ФСТЭК от 11.02.2013 № 17, включен в состав мероприятий обеспечения защиты информации в ходе эксплуатации системы. Правила для этого контроля и его состав расписаны там же в пункте 18.7. При желании перечисление 4-х мероприятий контроля из-за их взаимосвязанности можно считать неким порядком этого самого контроля. Что касается ИСПДн для сдачи документов в ФИС ФРДО, то подобные системы на практике аттестуются на соответствие требованиям Состава и содержания мер, утвержденным приказом от 18.02.2013 № 21 (+ требования ПП-1119 конечно). Этот документ оперирует понятием уровень защищенности ПДн только в описании мер по контролю (анализу) защищенности ПДн (меры АНЗ.1-АНЗ.5). В ходе эксплуатации ИСПДн в качестве периодического обязательного мероприятия (не реже 1 раза в 3 года) должна проводиться оценка эффективности мер по обеспечению безопасности ПДн (пункт 6 Состава и содержания мер), включающих в том числе АНЗ.1-АНЗ.5 в объеме от установленного уровня защищенности ПДн. Т.е. в ходе оценки эффективности должны оцениваться все установленные у ИСПДН меры, включая меры по контролю (анализу) защищенности ПДн. В части проведения контроля уровня защищенности информации, как периодического мероприятия в ходе эксплуатации системы, Порядок, утвержденный приказом ФСТЭК от 29.04.2021 № 77, оперирует терминами близкими к Требованиям, утвержденным приказом от 11.02.2013 № 17. Таким образом, без дополнительных разъяснений со стороны регулятора - что охватывается понятием "протоколы контроля защиты информации" в Порядке, утвержденным приказом ФСТЭК от 29.04.2021 № 77 - для в случая аттестации ИСПДн рассуждения будут спорны. Не исключено, что для ИСПДн здесь имеется в виду протоколы оценки эффективности реализованных мер по обеспечению безопасности ПДН, как отчетность у единственного установленного периодического мероприятия у ИСПДн. |
Автор: CM | 110057 | 10.06.2022 12:59 |
to sekira:
Ранее Вы говорили про "белое пятно" в НМД и отсутствие порядка при проведении периодического контроля уровня защиты. Что имелось в виду? |
Автор: nekto | 110058 | 10.06.2022 13:36 |
Может кому поможет:
В приказе 17 ФСТЭК есть: "... 18.7. В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются: контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы; анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы; документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе; принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы защиты информации. Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Периодичность проведения контроля ... в ИС 1 класса ... не реже 1 раза в год. Периодичность проведения контроля ... в ИС 2 и 3 классов ... не реже 1 раза в два года. (п. 18.7 введен Приказом ФСТЭК России от 28.05.2019 N 106)..." И в программе аттестационных испытаний (разрабатываемой по ГОСТу) есть перечень, какие проверки должны проводиться при периодическом контроле... |
Автор: CM | 110059 | 10.06.2022 14:11 |
to nekto:
> В приказе 17 ФСТЭК есть: > ... > 18.7. В ходе контроля за обеспечением уровня защищенности информации... Да. Отсылка на требования этого пункта были в том числе. > И в программе аттестационных испытаний (разрабатываемой по ГОСТу) есть перечень, какие проверки должны проводиться при периодическом контроле... Видимо имеются в виду ГОСТ РО 0043-003-2012 (пункт 8.3) и ГОСТ РО 0043-004-2013 (пункты В3-В3.5 Приложения В). Чем они могут помочь после вступления в силу Порядка, утвержденного приказом ФСТЭК от 29.04.2021 № 77 и прошедшего регистрацию в Минюсте? Если честно, то они и раньше своей "ежегодностью" расходись с требованиями к периодичности контроля уровня / оценки защищенности, утвержденными приказами ФСТЭК от 11.02.2013 № 17 и от 18.02.2013 № 21. |
Автор: sekira | 110060 | 10.06.2022 14:17 |
для...СМ
"Что имелось в виду?" То и имелось ...какие работы должны быть проведены при контроле защиты информации на аттестованном объекте информатизации раз в 2 года не закреплены (и не описаны) ни в одном документе. |
Автор: CM | 110061 | 10.06.2022 14:34 |
to sekira:
Какие работы (виды и содержание) - это требования к работам, а не порядку их выполнения. Если речь шла про именно "белое пятно" в требованиях, то своё мнение о спорности их отсутствия изложил выше. |
Автор: sekira | 110062 | 10.06.2022 14:59 |
"о своё мнение о спорности их отсутствия изложил выше."
"В ходе эксплуатации ИСПДн в качестве периодического обязательного мероприятия (не реже 1 раза в 3 года) должна проводиться оценка эффективности мер по обеспечению безопасности ПДн (пункт 6 Состава и содержания мер), включающих в том числе АНЗ.1-АНЗ.5 в объеме от установленного уровня защищенности ПДн. Т.е. в ходе оценки эффективности должны оцениваться все установленные у ИСПДН меры, включая меры по контролю (анализу) защищенности ПДн." Где написано что при оценке ИСПДн и ГИС нужно делать АН3? |
Автор: CM | 110063 | 10.06.2022 15:43 |
to sekira:
Формат изложения требований НМД отличается от формата изложения требований технического задания на выполнение определенных работ (оказание услуг) для определенного исполнителя. Если мера АНЗ определена для ИСПДн и дано нормативное требование оценить эффективность реализованных мер ИСПДн. Каких-либо исключений в данном нормативном требовании нет. В случае исключения мер (например, АНЗ) при проведении оценки их эффективности, имеет место быть неполноценная оценка (не в полном объеме). Каким образом вы предлагаете исключать меры при оценки их эффективности? |
Автор: AI | 110064 | 10.06.2022 16:01 |
Имеются АС (АРМы для работы с ДСП) с классом «1Г», срок действия 3-х годичного аттестата, выданного лицензиатом по ТЗКИ на основании Положения 94 года, заканчивается. Прошу высказать мнение по проведению очередной оценки соответствия АС требованиям ЗИ.
|
Автор: oko | 110065 | 10.06.2022 21:21 |
*в сторону*
Посмотрел на количество сообщений за день - аж прослезился в рамках ностальгии... to AI Вот тут регулятор более-менее оперативно уже разъяснил в рамках инфосообщения ФСТЭК №240/24/1950 за 2022 г.: - аттестация таких АС в полном соответствии с 77 Приказом; - исключение - без передачи атт.документов, протоколов контроля и проч. в УФСТЭК по месту размещения АС (читай, без регистрации таких АС в едином реестре аттестованных систем); - касательно этой темы форума - да, теперь выходит, что и контроль таких АС каждые 2 года. imho, обрабатывать именно что "Для служебного пользования" в АС, аттестованных с применением РД НСД без требухи того же 17 Приказа, моделирования и проч. - в наше просвещенное время, мягко говоря, дурная идея. Вне зависимости от статуса и отнесения таких АС к ГИС/МИС. Я б и для АС-лицензиатов принудительно требовал соблюдения 17 Приказа (тем более для лицензиатов с пунктом <в> оно и так обязательно) в добровольно-принудительном порядке, ага... |
Просмотров темы: 4056