Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация ИСПДн - Форум по вопросам информационной безопасности

Аттестация ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: Илья Сергеевич | 110438 05.10.2022 18:48
Добрый день!
В организации были созданы ИСПДн (очень давно). Созданные ИСПДн являются локальными, принадлежат организации и используются во время выполнения пунктов федерального закона.
Получается, что данные ИСПДн являются ГИС?
Исходя из того, что системы являются ГИС, необходимо выполнить требования 17 приказа и провести аттестацию.
Для проведения аттестации согласно методике, утвержденной Приказом ФСТЭК России от 29 апреля 2021 г. № 77 необходимо предоставить ряд документов компании проводящей аттестацию, одним из документов является техническое задание на создание ИС.
Как правильно поступить в данной ситуации, если ИС создавались без ТЗ, защита тоже выстраивалась без ТЗ.
Возможно есть "дорожная карта" по переводу ИСПДн в ГИС, и какие ключевые шаги необходимо выполнить? Средства на разработку/модернизацию ИС отсутсвуют, не говоря уже о ТЗ. Да и не совсем верно создавать ТЗ на уже существующую систему.

Автор: oko | 110439 05.10.2022 19:31
*в сторону*
Модуль экспрессии заставляет кричать "Штаааа???!!!11111", но модуль самоконтроля его с переменным успехом сдерживает...

to Илья Сергеевич
Получается, что на основании приведенных вами исходных данных невозможно ни подтвердить, ни опровергнуть статус ваших ИСПДн как ГИС-ИСПДн и, как следствие, корректно ответить на все последующие вопросы...
Вообще, всегда есть такая вещь как "специальное техническое задание на модернизацию объекта информатизации" или "специальное техническое задание на модернизацию системы защиты объекта информатизации"...

Автор: CM | 110440 06.10.2022 09:08
Илья Сергеевич,

Исходя изложенного Вами сейчас создается ГИС, которой ранее не было. Пусть даже на базе ранее действующей инфраструктуры в виде локальных ИСПДн. Не всегда ГИС создается "с нуля". Закон не запрещает использовать для создания или модернизации элементы действующей инфраструктуры, в том числе и средства защиты. Любые разработанные ранее документы по ИСПДн'ам могут использоваться в качестве исходных данных при создании ГИС.

Поэтому раз ГИС создается, то используйте постановление Правительства РФ от 06.07.2015 и Требования, утв. приказом ФСТЭК России от 11.02.2013 № 17. Эти документы и следует рассматривать в качестве "дорожной карты" для создания (модернизации) любой ГИС.

При создании ГИС или создании ее системы защиты информации ТЗ просто необходимо. За ним последует разработка соответствующего комплекта документов.
Если у Вас ранее всё таки была ГИС, то ТЗ можно сделать на модернизацию ГИС или модернизацию ее системы защиты информации. И за этим ТЗ также последует разработка соответствующего комплекта документов.

Автор: Илья Сергеевич | 110441 06.10.2022 09:45
Получается ТЗ на модернизацию и выполнение этого ТЗ можно выполнить собственными силами?

Автор: CM | 110442 06.10.2022 10:24
Илья Сергеевич,
ТЗ всегда разрабатывает заказчик или оно "исходит" от руководства своим подчиненным.
Выполнение работ собственными силами возможна при наличии лицензии на деятельность по технической защите конфиденциальной информации (п. 5 ч. 1 ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ "О лицензировании отдельных видов деятельности"). Выполнение работ со средствами криптографической защиты информации для собственных нужд наличие лицензии не требуется (п. 1 ч. 1 ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ "О лицензировании отдельных видов деятельности").
Прошел месяц

Автор: алексей | 110527 15.11.2022 08:16
У меня есть вопрос ? Имеются два объекта вычислительной техники оба внутри одной контролируемой зоны, разные аттестаты, обязателен ли сетевой экран для их объединения в ЛВС или можно просто описать как один объект взаимодействует с другим объектом в ОРД.

Автор: CM | 110530 15.11.2022 12:56
Для Алексея:

Возможны оба варианта и они по своему повлияют на выданные аттестаты.

Автор: oko | 110531 15.11.2022 14:37
to алексей
Использование аббреватуры ОВТ попахивает ГТ-вопросом. И, если так, то я б на вашем месте не спешил 2 раздельно аттестованных объекта связывать между собой. Вне зависимости от наличия/отсутствия межсетевого экрана, ага...

Автор: Сергей, Альбатрос | 110532 15.11.2022 16:30
Доброго времени суток!
Просьба владеющих информацией проконсультировать по сл. вопросу (желательно ссылаясь на установленные нормы законодательства или регуляторов ИБ).

В случае наличия в организации двух автоматизированных информационных систем (не гис), насколько приемлемо классифицировать их одним актом. Искал соответствующую норму, но пришел к выводу, что данный вопрос не регламентирован.

Заранее благодарен за обратную связь!

Автор: oko | 110533 15.11.2022 17:26
to Сергей
В общем случае ограничений нет - можно хоть все за раз. Особенно, если характеристики и значения их классификации совпадают. Но есть нюанс для случаях их последующей аттестации в рамках 77 Приказа ФСТЭК. Там и форма типовая, и не предусмотрено совмещение нескольких ОИ в одном акте, и регулятор потом может не понять такого подхода. Впрочем, договориться и обосновать можно многое - были бы желание и нужда...

Страницы: 1 2 >

Просмотров темы: 1052

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*