Контакты
Подписка
МЕНЮ
Контакты
Подписка

Протокол контроля защиты информации на аттестованном объекте - Форум по вопросам информационной безопасности

Протокол контроля защиты информации на аттестованном объекте - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 >

Автор: CM | 110056 10.06.2022 12:54
to oko:

Изложенные Вами вопросы касаются ТРЕБОВАНИЙ к контролю, а с sekir'ой речь шла о ПОРЯДКЕ проведения контроля.
Что касается "белых пятен" НМД, то тут вопрос скорее спорный: мы имеем дело с белым пятном, какой-то коллизией или недопонимаем требований регулятора.
Так для ГИС пунктом 18 Требований, утвержденных приказом ФСТЭК от 11.02.2013 № 17, включен в состав мероприятий обеспечения защиты информации в ходе эксплуатации системы. Правила для этого контроля и его состав расписаны там же в пункте 18.7. При желании перечисление 4-х мероприятий контроля из-за их взаимосвязанности можно считать неким порядком этого самого контроля.
Что касается ИСПДн для сдачи документов в ФИС ФРДО, то подобные системы на практике аттестуются на соответствие требованиям Состава и содержания мер, утвержденным приказом от 18.02.2013 № 21 (+ требования ПП-1119 конечно). Этот документ оперирует понятием уровень защищенности ПДн только в описании мер по контролю (анализу) защищенности ПДн (меры АНЗ.1-АНЗ.5). В ходе эксплуатации ИСПДн в качестве периодического обязательного мероприятия (не реже 1 раза в 3 года) должна проводиться оценка эффективности мер по обеспечению безопасности ПДн (пункт 6 Состава и содержания мер), включающих в том числе АНЗ.1-АНЗ.5 в объеме от установленного уровня защищенности ПДн. Т.е. в ходе оценки эффективности должны оцениваться все установленные у ИСПДН меры, включая меры по контролю (анализу) защищенности ПДн.
В части проведения контроля уровня защищенности информации, как периодического мероприятия в ходе эксплуатации системы, Порядок, утвержденный приказом ФСТЭК от 29.04.2021 № 77, оперирует терминами близкими к Требованиям, утвержденным приказом от 11.02.2013 № 17.
Таким образом, без дополнительных разъяснений со стороны регулятора - что охватывается понятием "протоколы контроля защиты информации" в Порядке, утвержденным приказом ФСТЭК от 29.04.2021 № 77 - для в случая аттестации ИСПДн рассуждения будут спорны. Не исключено, что для ИСПДн здесь имеется в виду протоколы оценки эффективности реализованных мер по обеспечению безопасности ПДН, как отчетность у единственного установленного периодического мероприятия у ИСПДн.

Автор: CM | 110057 10.06.2022 12:59
to sekira:

Ранее Вы говорили про "белое пятно" в НМД и отсутствие порядка при проведении периодического контроля уровня защиты. Что имелось в виду?

Автор: nekto | 110058 10.06.2022 13:36
Может кому поможет:

В приказе 17 ФСТЭК есть:
"...
18.7. В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются:
контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы;
анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы;
документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе;
принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы защиты информации.
Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Периодичность проведения контроля ... в ИС 1 класса ... не реже 1 раза в год.
Периодичность проведения контроля ... в ИС 2 и 3 классов ... не реже 1 раза в два года.
(п. 18.7 введен Приказом ФСТЭК России от 28.05.2019 N 106)..."

И в программе аттестационных испытаний (разрабатываемой по ГОСТу) есть перечень, какие проверки должны проводиться при периодическом контроле...

Автор: CM | 110059 10.06.2022 14:11
to nekto:

> В приказе 17 ФСТЭК есть:
> ...
> 18.7. В ходе контроля за обеспечением уровня защищенности информации...

Да. Отсылка на требования этого пункта были в том числе.

> И в программе аттестационных испытаний (разрабатываемой по ГОСТу) есть перечень, какие проверки должны проводиться при периодическом контроле...

Видимо имеются в виду ГОСТ РО 0043-003-2012 (пункт 8.3) и ГОСТ РО 0043-004-2013 (пункты В3-В3.5 Приложения В). Чем они могут помочь после вступления в силу Порядка, утвержденного приказом ФСТЭК от 29.04.2021 № 77 и прошедшего регистрацию в Минюсте? Если честно, то они и раньше своей "ежегодностью" расходись с требованиями к периодичности контроля уровня / оценки защищенности, утвержденными приказами ФСТЭК от 11.02.2013 № 17 и от 18.02.2013 № 21.

Автор: sekira | 110060 10.06.2022 14:17
для...СМ
"Что имелось в виду?"
То и имелось ...какие работы должны быть проведены при контроле защиты информации на аттестованном объекте информатизации раз в 2 года не закреплены (и не описаны) ни в одном документе.

Автор: CM | 110061 10.06.2022 14:34
to sekira:

Какие работы (виды и содержание) - это требования к работам, а не порядку их выполнения.
Если речь шла про именно "белое пятно" в требованиях, то своё мнение о спорности их отсутствия изложил выше.

Автор: sekira | 110062 10.06.2022 14:59
"о своё мнение о спорности их отсутствия изложил выше."

"В ходе эксплуатации ИСПДн в качестве периодического обязательного мероприятия (не реже 1 раза в 3 года) должна проводиться оценка эффективности мер по обеспечению безопасности ПДн (пункт 6 Состава и содержания мер), включающих в том числе АНЗ.1-АНЗ.5 в объеме от установленного уровня защищенности ПДн. Т.е. в ходе оценки эффективности должны оцениваться все установленные у ИСПДН меры, включая меры по контролю (анализу) защищенности ПДн."

Где написано что при оценке ИСПДн и ГИС нужно делать АН3?

Автор: CM | 110063 10.06.2022 15:43
to sekira:

Формат изложения требований НМД отличается от формата изложения требований технического задания на выполнение определенных работ (оказание услуг) для определенного исполнителя.
Если мера АНЗ определена для ИСПДн и дано нормативное требование оценить эффективность реализованных мер ИСПДн. Каких-либо исключений в данном нормативном требовании нет. В случае исключения мер (например, АНЗ) при проведении оценки их эффективности, имеет место быть неполноценная оценка (не в полном объеме).
Каким образом вы предлагаете исключать меры при оценки их эффективности?

Автор: AI | 110064 10.06.2022 16:01
Имеются АС (АРМы для работы с ДСП) с классом «1Г», срок действия 3-х годичного аттестата, выданного лицензиатом по ТЗКИ на основании Положения 94 года, заканчивается. Прошу высказать мнение по проведению очередной оценки соответствия АС требованиям ЗИ.

Автор: oko | 110065 10.06.2022 21:21
*в сторону*
Посмотрел на количество сообщений за день - аж прослезился в рамках ностальгии...

to AI
Вот тут регулятор более-менее оперативно уже разъяснил в рамках инфосообщения ФСТЭК №240/24/1950 за 2022 г.:
- аттестация таких АС в полном соответствии с 77 Приказом;
- исключение - без передачи атт.документов, протоколов контроля и проч. в УФСТЭК по месту размещения АС (читай, без регистрации таких АС в едином реестре аттестованных систем);
- касательно этой темы форума - да, теперь выходит, что и контроль таких АС каждые 2 года.
imho, обрабатывать именно что "Для служебного пользования" в АС, аттестованных с применением РД НСД без требухи того же 17 Приказа, моделирования и проч. - в наше просвещенное время, мягко говоря, дурная идея. Вне зависимости от статуса и отнесения таких АС к ГИС/МИС. Я б и для АС-лицензиатов принудительно требовал соблюдения 17 Приказа (тем более для лицензиатов с пунктом <в> оно и так обязательно) в добровольно-принудительном порядке, ага...

Страницы: < 1 2 3 >

Просмотров темы: 4056

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*