Необходимость аттестации частей ИСПДн - Форум по вопросам информационной безопасности

Установленное оборудование
1) Серверная часть 1С:Колледж, установленная на аппаратный сервер с операционной системой Windows Server. На серверной части может быть создано несколько пользователей с разными уровнями доступа (пользовательский и администраторский).
2) Клиентская часть 1С:Колледж. Клиенты установлены на 4 персональных компьютерах, работающих под управлением Windows 10. На клиентских частях установлены следующие средства защиты: Kaspersky internet security (имеет сертификат ФСТЭК)
3) Компьютер, предоставленный компанией ООО «Миранда-Медиа», сертифицированный для работы с ФИС ФРДО (рабочее место Центрального сегмента Республики Крым ФИС ФРДО; документы на рабочее место и документы, подтверждающие его сертификацию, отсутствуют), работает на операционной системе Astra linux. На данном компьютере установлены следующие средства защиты: VipNet, Kaspersky internet security.
4) Образовательная организация. Для всех информационных систем установлен 4-й уровень защищённости (4УЗ).

2. Эксплуатация устройств
Система 1С:Колледж используется для хранения, обработки и передачи персональных данных обучающихся внутри Колледжа. Передача данных происходит с помощью локальной сети Колледжа. Передача данных из системы 1С:Колледж за пределы локальной сети Колледжа не происходит.
Передача данных в ФИС ГИА и ФИС ФРДО происходит посредством, предоставленного компьютера, указанного в пункте 1.

3. Вопросы:
1) Необходимо ли аттестовать информационную систему персональных данных которая состоит из серверной и клиентских частей 1С: Колледж и функционирует исключительно внутри Колледжа?
2) Необходимо ли аттестовать информационную систему персональных данных, которая состоит только из компьютера, предназначенного для обмена данными с ФИС ГИА и ФИС ФРДО?
3) В случае, если обе ИСПДн, указанные в вопросе 1 и 2 необходимо сертифицировать, можно ли объединить все устройства, перечисленные в пункте 1 в единую информационную систему персональных данных, и нужно ли в таком случае её аттестовать.
4) Можно ли не аттестовать всю информационную систему персональных данных, а аттестовать только компьютер, предназначенный для обмена данными с ФИС ГИА и ФИС ФРДО.

Заранее благодарю за консультацию.

>>>На клиентских частях установлены следующие средства защиты: Kaspersky internet security (имеет сертификат ФСТЭК)

В реестре СЗИ ФСТЭК такого сертификата нет, https://reestr.fstec.ru/reg3
KIS устарел насколько я помню, давно уже несертифицированный.

Как передаются данные из 1С.Колледж на компьютер, сертифицированный для работы с ФИС ФРДО?

Извините, небольшая описка.
Установлен Kaspersky Endpoint Security, в реестре ФСТЭК он есть.

Вопрос: Как передаются данные из 1С.Колледж на компьютер, сертифицированный для работы с ФИС ФРДО?

Ответ: В ФИС ФРДО данные заносятся вручную с бумажных носителей.
1С Колледж и рабочее место для передачи данных в ФИС ФРДО - это два независимых компьютера, подключены в одну сеть, взаимодействие между ними не производится.

*в сторону*
Хоть что-то стабильное в этом мире есть, ага...

to Александр
1. Аттестация - конкретная и декларированная процедура. По линии ФСТЭК России регулируется Приказом 77 ФСТЭК России за 2021 г.
2. В общем случае для ИСПДн процедура именно "аттестации" не требуется. См. Приказ 21 ФСТЭК России за 2013 г., понятие "оценка соответствия" (ее в том числе может проводить Оператор самостоятельно, если, конечно, у него достаточно понимания и квалификации). Однако, аттестация ИСПДн может быть обязательной, если:
- для ИСПДн дополнительно не присвоен статус "Государственная (или муниципальная) информационная система";
- для конкретной ИСПДн имеется отдельное специальное Тех.задание, указывающее именно "аттестацию";
- есть дополнительные требования (в вашем случае, Минобрнауки), указывающие именно на "аттестацию".
3. Кстати, любая ФИС (она же Федеральная ИС) как правило приравнена по статусу к "Государственной ИС". Т.е. требует обязательной аттестации. Но это не всегда касается ее сегментов - тех же территориально распределенных АРМ, функционирующих в сторонних (по отношению к Владельцу ФИС) учреждениях (например, Колледже)...
4. Точно ли "сертифицирован"? Не слышал о "сертификации для ФИС ФРДО". Впрочем, чего только не бывает...
5. Именно "аттестация" или нечто иное, или вообще отсутствие какой-либо оценки - для АРМ связи с ФИС ФРДО (ФИС ГИА, любыми другими сторонними системами) всегда регулируется Тех.заданием или отдельными Требованиями, определяемые Владельцем такой системы. Т.е. сперва следует узнать у Владельца ФИС ФРДО (ФИС ГИА, любой другой сторонней системы), а потом уже в других местах, включая форум, ага...
6. Возможно ли объединить или нет - опять-таки, сперва следует выяснить у Владельца ФИС ФРДО. Или иного лица, на основании решения которого в Колледже (или где-либо еще) появилось АРМ связи с ФИС ФРДО (или иной сторонней системой). Может статься, что доп.ограничений нет. Может статься, что Угрозы межсетевого воздействия "в локалке" не рассматривались (тогда нельзя объединять). Может статься, что кроме KES на АРМ установлен еще какой-нибудь Континент-АП (тогда можно или нельзя зависит от его конфигураций). Короче, вариантов масса...
7. Есть ощущение, что кроме KES на АРМ ФИС ФРДО и т.п. установлены (или должны быть установлены) и другие средства защиты информации. Нужно внимательно читать документы на такое АРМ. И, кстати, если какие-либо документы отсутствуют, то, увы, это зачастую проблема Эксплуатанта (читай, Колледжа)...
8. Вместо Владельца ФИС может помочь и официальный Оператор ФИС...

ЗЫ Ищите, пытайте, узнавайте. Иначе будете неправы по умолчанию, какое бы решение не приняли самостоятельно...