Автор: Константин | 110328 | 02.09.2022 09:36 |
Подскажите, пожалуйста, какой вид деятельности из ПП РФ 79 должен быть у лицензиата ТЗКИ для проведения ежегодного контроля ЗП ?
|
Автор: CM | 110329 | 02.09.2022 11:54 |
to Константин:
В Положении, утв. постановлением Правительства РФ от 03.02.2012 № 79, под данный вид деятельности подходит только пункт 4(а). |
Автор: Константин | 110330 | 02.09.2022 13:39 |
2 CM Большое спасибо!
|
Автор: oko | 110333 | 02.09.2022 22:50 |
to Константин
Если вопрос с подвохом, то никакой (вид деятельности, ага). В противном случае, откуда ежегодный-то? |
Автор: Константин | 110335 | 06.09.2022 10:13 |
2 oko Никакого подвоха. ЗП аттестовано в 2020 на три года. В аттестате указан ежегодный контроль. Пытаемся соответствовать)
|
Автор: sekira | 110338 | 06.09.2022 15:18 |
даже в 2020 году было раз в 2 года в СТР-К
|
Автор: Константин | 110339 | 06.09.2022 16:23 |
2 sekira странно, но
СТР-К п.3.24 ... проводится периодический (не реже одного раза в год) контроль состояния защиты информации. |
Автор: Денис | 110340 | 06.09.2022 17:40 |
to oko, to sekira
По СТР-К было раз в год. to Константин Забудьте про СТР-К, используем 77 приказ. СТР-К можно использовать в пунктах, не противоречащих 77 приказу. => забываем про 1 год. Контроль отныне проводится каждые 2 года. |
Автор: CM | 110341 | 06.09.2022 20:14 |
to Денис:
> => забываем про 1 год. Контроль отныне проводится каждые 2 года. Формально в Порядке, утв. приказом ФСТЭК от 29.04.2021 № 77, срок "периодичности" проведения контроля уровня защищенности не установлен. Впрочем как и вид этого контроля, а главное его объем испытаний / проверок. В п. 31 Порядка определено, что владелец аттестованного объекта обеспечивает поддержку его безопасности в соответствии с АТТЕСТАТОМ, ПРЕДУСМАТРИВАЮЩИМ реализацию требований по ЗИ в ходе эксплуатации объекта И ПЕРИОДИЧЕСКИЙ КОНТРОЛЬ УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ. Но установленная форма аттестата соответствия (Приложение № 4 к Порядку) не содержит в себе никаких позиций о контроле уровня защищенности и его периодичности. На всякий случай: требования п. 32 Порядка говорят о сроках предоставления протоколов контроля защищенности во ФСТЭК России - не реже 1 раза в 2 года. Понятно, что сам контроль можно проводить и чаще, чем о нем отчитываться регулятору. Если объект информатизации - ГИС, то тут есть хоть какое-то объяснение в п. 18.7 Требований, утв. приказом ФСТЭК России от 11.02.2013 № 17. А вот если ЗП, то тут с видом и объемом контроля уровня защищенности информации ясности не хватает. Порядок, утв. приказом ФСТЭК от 29.04.2021 № 77, ничего об этом не говорит. Тот же СТР-К оперирует понятиями контроля за эффективностью предусмотренных мер защиты информации (п. 3.2, п. 6 формы аттестата соответствия дял АС), контроля состояния защиты информации (п. 3.24, он же периодический со сроком не реже 1 раза в год) и повседневного контроля за выполнением установленных правил эксплуатации помещения (п. 3 форма аттестата соответствия ЗП). Тождественность этих видов контроля к контролю уровня защищенности информации как бы еще доказать надо. Раньше в вопросах проведения ежегодного контроля и объема его испытаний / проверок, как правило, ссылались либо на п. 8.3 ГОСТа РО 0043-003-2012, либо на аттестат соответствия (ежегодный контроль вписывался в нем не смотря на установленную форму СТР-К), либо на ОРД (иногда устанавливался приказами при вводе объекта в эксплуатацию). Сейчас для установления сроков периодичности контроля уровня защищенности информации в рамках действующей редакции Порядка, утв. приказом ФСТЭК от 29.04.2021 № 77, оптимальным видится только вариант с ОРД. |
Автор: oko | 110342 | 06.09.2022 22:59 |
*в сторону*
imho, куда как проще и дешевле для ЗП от 2020 г. провести аттестацию в 2022 г., получить бессрочный аттестат (вместо 3 лет, истекающих в 2023 г.) и париться над следующим контролем 1 раз в 2 года (вместо текущего ежегодного) исключительно ради Протоколов для ФСТЭК. Раз уж мы опять и вновь в правовой/нормативной/как-же-эта-ситуация-уже-достала дыре, ага... |
Просмотров темы: 998