Контакты
Подписка
МЕНЮ
Контакты
Подписка

Ежегодный контроль ЗП - Форум по вопросам информационной безопасности

Ежегодный контроль ЗП - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: Константин | 110328 02.09.2022 09:36
Подскажите, пожалуйста, какой вид деятельности из ПП РФ 79 должен быть у лицензиата ТЗКИ для проведения ежегодного контроля ЗП ?

Автор: CM | 110329 02.09.2022 11:54
to Константин:

В Положении, утв. постановлением Правительства РФ от 03.02.2012 № 79, под данный вид деятельности подходит только пункт 4(а).

Автор: Константин | 110330 02.09.2022 13:39
2 CM Большое спасибо!

Автор: oko | 110333 02.09.2022 22:50
to Константин
Если вопрос с подвохом, то никакой (вид деятельности, ага). В противном случае, откуда ежегодный-то?

Автор: Константин | 110335 06.09.2022 10:13
2 oko Никакого подвоха. ЗП аттестовано в 2020 на три года. В аттестате указан ежегодный контроль. Пытаемся соответствовать)

Автор: sekira | 110338 06.09.2022 15:18
даже в 2020 году было раз в 2 года в СТР-К

Автор: Константин | 110339 06.09.2022 16:23
2 sekira странно, но
СТР-К
п.3.24
... проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Автор: Денис | 110340 06.09.2022 17:40
to oko, to sekira

По СТР-К было раз в год.

to Константин
Забудьте про СТР-К, используем 77 приказ.
СТР-К можно использовать в пунктах, не противоречащих 77 приказу.
=> забываем про 1 год. Контроль отныне проводится каждые 2 года.

Автор: CM | 110341 06.09.2022 20:14
to Денис:

> => забываем про 1 год. Контроль отныне проводится каждые 2 года.

Формально в Порядке, утв. приказом ФСТЭК от 29.04.2021 № 77, срок "периодичности" проведения контроля уровня защищенности не установлен. Впрочем как и вид этого контроля, а главное его объем испытаний / проверок.
В п. 31 Порядка определено, что владелец аттестованного объекта обеспечивает поддержку его безопасности в соответствии с АТТЕСТАТОМ, ПРЕДУСМАТРИВАЮЩИМ реализацию требований по ЗИ в ходе эксплуатации объекта И ПЕРИОДИЧЕСКИЙ КОНТРОЛЬ УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ. Но установленная форма аттестата соответствия (Приложение № 4 к Порядку) не содержит в себе никаких позиций о контроле уровня защищенности и его периодичности.
На всякий случай: требования п. 32 Порядка говорят о сроках предоставления протоколов контроля защищенности во ФСТЭК России - не реже 1 раза в 2 года. Понятно, что сам контроль можно проводить и чаще, чем о нем отчитываться регулятору.
Если объект информатизации - ГИС, то тут есть хоть какое-то объяснение в п. 18.7 Требований, утв. приказом ФСТЭК России от 11.02.2013 № 17. А вот если ЗП, то тут с видом и объемом контроля уровня защищенности информации ясности не хватает. Порядок, утв. приказом ФСТЭК от 29.04.2021 № 77, ничего об этом не говорит. Тот же СТР-К оперирует понятиями контроля за эффективностью предусмотренных мер защиты информации (п. 3.2, п. 6 формы аттестата соответствия дял АС), контроля состояния защиты информации (п. 3.24, он же периодический со сроком не реже 1 раза в год) и повседневного контроля за выполнением установленных правил эксплуатации помещения (п. 3 форма аттестата соответствия ЗП). Тождественность этих видов контроля к контролю уровня защищенности информации как бы еще доказать надо.
Раньше в вопросах проведения ежегодного контроля и объема его испытаний / проверок, как правило, ссылались либо на п. 8.3 ГОСТа РО 0043-003-2012, либо на аттестат соответствия (ежегодный контроль вписывался в нем не смотря на установленную форму СТР-К), либо на ОРД (иногда устанавливался приказами при вводе объекта в эксплуатацию). Сейчас для установления сроков периодичности контроля уровня защищенности информации в рамках действующей редакции Порядка, утв. приказом ФСТЭК от 29.04.2021 № 77, оптимальным видится только вариант с ОРД.

Автор: oko | 110342 06.09.2022 22:59
*в сторону*
imho, куда как проще и дешевле для ЗП от 2020 г. провести аттестацию в 2022 г., получить бессрочный аттестат (вместо 3 лет, истекающих в 2023 г.) и париться над следующим контролем 1 раз в 2 года (вместо текущего ежегодного) исключительно ради Протоколов для ФСТЭК. Раз уж мы опять и вновь в правовой/нормативной/как-же-эта-ситуация-уже-достала дыре, ага...

Страницы: 1 2 >

Просмотров темы: 998

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*