Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Как определить точно является ли ИС государственной??аттестат???
Доброго времени суток!очень уж я запуталась!мы МИАЦ, на данном этапе готовим к защите 3 рабочих места, на которых обрабатываются 2 ИСПДн класса К1. как определить являются ли эти информационные системы государственными и нужно ли проводить аттестацию!
Согласно ФЗ№149 ст.13
государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
ИМХО, по правовому основанию обработки ПДн, можно определить: то есть на основании каких правовых актов (федеральных или иных) ведется обработка.
Вот теперь мы точно определили, что одна ИСПДн является государственной информационной системой, также она внесена в реестр ГИС на сайте РКН, теперь вопрос только в аттестации, нужен ли аттестат соответствия на эту ГИС?одни спецы говорят что нужен обязательно и ссылаются на СТР-К 2002г., другие говорят что не нужно. точнее не обязателен
Олеся, насколько я понял, готовится новый СТР-К (проект - на сайте ФСТЭК), по нему аттестация нужна.
Однако предлагаю Вам уточнить, чья ИСПДн. Если Департамента ИТ Минздрава РФ - по идее они и должны организовывать аттестацию. В ГИС ОМС так и есть - ФОМС организует аттестацию стоек в регионах. По идее, если участвуете в ВКС по четвергам, Ваш директор может задать такой вопрос Роману Александровичу.
Олеся, смотрите:
1. СТР-К распространяется на защиту государственных информационных ресурсов
2. В СТР-К сказано, что аттестация АС для ГИР обязательна
3. СТР-К не зарегистрирован в Минюсте, и поэтому есть мнение, что он не имеет юр.силы.
4. Аттестация ИСПДн (именно ИСПДн, а не АС) НЕ ОБЯЗАТЕЛЬНА ни для кого.
5. В проекте приказа ФСТЭК Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (который называют новым СТР-К) сказано, что организация защиты информации, содержащейся в информационной системе, включает:
аттестацию информационной системы на соответствие требованиям о защите информации и ввод ее в действие.
При этом "при обработке в государственной информационной системе (далее - информационные системы) информации конфиденциального характера, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных".

Поэтому у вас есть 2 варианта:
1) аттестовать систему(-ы) как АС
2) признать систему(-ы) ИСПДн и не аттестовывать.

Если не права, форумчане, поправьте!)
Цитата
Настя пишет:
Если не права, форумчане, поправьте!)
Думаю, что Вы правы. Однако, проект вскоре станет утвержденным документом и аттестовать придется в любом случае.
Мне кажется, имеет смысл подождать и аттестовать на соответствие требованиям нового документа (правда, возникнет куча вопросов о порядке проведения аттестации по новым требованим. Как их проверять и т.п. )
Цитата
AlexG пишет:
аттестовать придется в любом случае
почему в любом? в случае

Цитата
Настя пишет:
2) признать систему(-ы) ИСПДн
аттестация ИСПДн не обязательна, даже для ГОСов, этого требования нет нигде.
Доброе Утро) подскажите пожалуйста, в организации есть совет пенсионеров, который поздравляет по праздникам бывших работников организации (т.е. могут быть бабушки и дедушки лет 80). Обрабатываются их ПДн: адрес, телефон, дата рождения, группа инвалидности если имеется. И вот у меня вопрос, необходимо ли брать у данных пенсионеров согласие на обработку ПДн или можно как то обойтись без этого ?
Цитата
Настя пишет:
почему в любом? в случае
Потому, что ГИС, и прежде всего ГИС, а ИСПДн во вторую очередь. Точно не скажу, но ИМХО во всех ГИС обрабатываются ПДн, может 1-2 исключения. А раз требования по ИСПДн выполняются наряду с требованиями к ГИС, то сначала выполняем требования к ГИС (аттестация), в раках которой учитываем и то, что там обрабатываются ПДн.
Да, аттестация, только не как ИСПДн, а как АС

Цитата
Настя пишет:
1) аттестовать систему(-ы) как АС
Цитата
Настя пишет:
Да, аттестация, только не как ИСПДн, а как АС
Раз уж аттестацию придется делать по-любому, то никто не мешает в аттестате на АС написать, что она может обрабатывать ПДн до УЗ1(2,3,4)
Цитата
Сергей С. пишет:
Раз уж аттестацию придется делать по-любому, то никто не мешает в аттестате на АС написать, что она может обрабатывать ПДн до УЗ1(2,3,4)
Согласна. Вообще с недоверием отношусь к понятию "аттестации ИСПДн", т.к. этот процесс нигде не описан и ничем не регламентирован.
Изменено: Настя - 17.01.2013 10:54:34
Цитата
Настя пишет:
Вообще с недоверием отношусь к понятию "аттестации ИСПДн"
Тут вопрос терминологии. Оператор обязан осуществлять контроль (аудит) соответствия обработки ПДн 152 закону и подзаконным актам. А как оформить результаты контроля нигде не установлено (и слава Богу). Дело в том, что аттестационные испытания и аттестация это лицензируемые виды деятельности, и если лицензия есть (либо это внешний аудит у лицензиата), то лучше оформить это все аттестатом соответствия (так привыяней для регуляторов). Если лицензии нет, то оформлять актом.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку