Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обязательность аттестации АРМа для работы с ДСП - Форум по вопросам информационной безопасности

Обязательность аттестации АРМа для работы с ДСП - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: vice4 | 110187 14.07.2022 11:58
Добрый день коллеги.

Некоторое время назад вышестоящее руководство стало направлять в наш адрес документы с ограничительной отметкой ДСП и если раньше мы их спокойно обрабатывали без средств ВТ, то теперь это стало проблематично.
Сейчас планируем приобрести отдельное, не сетевое АРМ с МФУ для подготовки ответов на ДСП. Возник вопрос, а надо ли нам его аттестовывать или нет. Если мы его аттестуем под ДСП, то сможем ли мы на нем обрабатывать документы с отметкой КФ.

Спасибо.

Автор: oko | 110188 14.07.2022 13:04
to vice4
Что есть пометка КФ? "Конфиденциально" в рамках режима коммерческой тайны или иного режима работы с инф.огр.доступа, касающейся деятельности исключительно вашей организации? Так это регулируется вашими внутренними положениями - можно хоть через публичный wifi на тачке в Интернет-кафе обрабатывать, если сами постановили такое разрешение. Риски-то и границы ответственности сами определяете...
Пометку "Для служебного пользования" вышестоящая контора на каком основании ставит? Если "просто так исторически сложилось", то можете поступать сообразно приведенному примеру с другими пометками с оглядкой на доп.инструкции, высланные вышестоящей конторой. Если этих инструкций нет, то можете даже считать эти бумаги "открытыми" - ответственности на вас никакой (и проблема в кривых руках/головах вышестоящей конторы). Впрочем, о столь радикальном действии предварительно стоит переговорить с вышестоящей конторой. Во избежание, ага...
Если "ДСП" присваивается на основании каких-либо подзаконных актов (ибо закона о Служебной тайне до сих пор нет), например, недавние приказы Минцифры, МО РФ, старое Постановление Правительства для ФОИВ/Росатома/Роскосмоса или на основании какого-либо ведомственного положения (например, положения Министерства, которому подчиняется вышестоящая контора и, как следствие, вы), то вначале запросите и изучите все документы, определяющие порядок и правила обработки таких документов. И действуйте сообразно им (настоятельно рекомендуется их "доработать под себя" без противоречий, но с уточнениями, и в явном виде ввести в действие в своей организации с обязательным ознакомлением об этом всех допущенных сотрудников)...
А АРМ, МФУ, их защита и аттестация и прочее - это уже частности, инструменты, которые не должны противоречить, но могут расширять принятые политики/требования по конфиденциальному документообороту в вашей организации (с оглядкой на вышеперечисленное)...

Автор: CM | 110189 14.07.2022 14:02
to vice4:

> Возник вопрос, а надо ли нам его аттестовывать или нет.

Требования по защите информации ограниченного доступа "ДСП", включая обязательность аттестации для их обработки АРМ, должны определяться передающей эту информацию стороной. В Вашем случае это вышестоящая организация. Если передача информации ограниченного доступа не обеспечена требованиями по ее защите, то и ее обработка не может быть обеспечена мерами защиты. Предмета обсуждения нет: какие организационно-технические меры и в каком объеме необходимо выполнить? В данной ситуации стоит запросить у вышестоящей организации требования по защите направляемой информации "ДСП". Может окажется, что аттестовывать ничего не потребуется.

> Если мы его аттестуем под ДСП, то сможем ли мы на нем обрабатывать документы с отметкой КФ.

Не очень понятно, что имеется в виду под "отметкой КФ"?! В любом случае, если Вы решили систему аттестовывать, то в аттестате будут указаны требования на соответствие которым аттестовывалась система и какая информация ограниченного доступа может на ней обрабатываться. Кроме того, решение по обработке информации ограниченного доступа "ДСП" на конкретном АРМ может быть принято руководителем организации и определено в локальном нормативном акте (приказе, распоряжении). Это в случае наличия имеющейся в организации какой-нибудь аттестованной техники, обеспечивающей соответствующие требования по защите информации.

Автор: vice4 | 110190 14.07.2022 14:12
Да, всё верно, КФ это отметка конфиденциально на документах.
По поводу ДСП - их присылает Минпромторг и МО РФ, выходит мне надо запрашивать регламенты работы с ДСП у этих организаций?

Автор: CM | 110191 14.07.2022 14:46
to vice4:

> По поводу ДСП - их присылает Минпромторг и МО РФ, выходит мне надо запрашивать регламенты работы с ДСП у этих организаций?

Корректнее будет в обращении запросить требования по защите получаемых от них сведений ограниченного доступа, поскольку понятие "регламенты" достаточно широкое. Как вариант можно со своей стороны подготовить техническое задание на создание защищенной информационной системы и отправить к ним на согласование. А после согласования выполнить работы по защите информации и осуществлять обработку.

Автор: vice4 | 110193 14.07.2022 16:05
Спасибо

Просмотров темы: 2300

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*