Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Как определить точно является ли ИС государственной??аттестат???
Доброго времени суток!очень уж я запуталась!мы МИАЦ, на данном этапе готовим к защите 3 рабочих места, на которых обрабатываются 2 ИСПДн класса К1. как определить являются ли эти информационные системы государственными и нужно ли проводить аттестацию!
Согласно ФЗ№149 ст.13
государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
ИМХО, по правовому основанию обработки ПДн, можно определить: то есть на основании каких правовых актов (федеральных или иных) ведется обработка.
Вот теперь мы точно определили, что одна ИСПДн является государственной информационной системой, также она внесена в реестр ГИС на сайте РКН, теперь вопрос только в аттестации, нужен ли аттестат соответствия на эту ГИС?одни спецы говорят что нужен обязательно и ссылаются на СТР-К 2002г., другие говорят что не нужно. точнее не обязателен
Олеся, насколько я понял, готовится новый СТР-К (проект - на сайте ФСТЭК), по нему аттестация нужна.
Однако предлагаю Вам уточнить, чья ИСПДн. Если Департамента ИТ Минздрава РФ - по идее они и должны организовывать аттестацию. В ГИС ОМС так и есть - ФОМС организует аттестацию стоек в регионах. По идее, если участвуете в ВКС по четвергам, Ваш директор может задать такой вопрос Роману Александровичу.
Олеся, смотрите:
1. СТР-К распространяется на защиту государственных информационных ресурсов
2. В СТР-К сказано, что аттестация АС для ГИР обязательна
3. СТР-К не зарегистрирован в Минюсте, и поэтому есть мнение, что он не имеет юр.силы.
4. Аттестация ИСПДн (именно ИСПДн, а не АС) НЕ ОБЯЗАТЕЛЬНА ни для кого.
5. В проекте приказа ФСТЭК Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (который называют новым СТР-К) сказано, что организация защиты информации, содержащейся в информационной системе, включает:
аттестацию информационной системы на соответствие требованиям о защите информации и ввод ее в действие.
При этом "при обработке в государственной информационной системе (далее - информационные системы) информации конфиденциального характера, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных".

Поэтому у вас есть 2 варианта:
1) аттестовать систему(-ы) как АС
2) признать систему(-ы) ИСПДн и не аттестовывать.

Если не права, форумчане, поправьте!)
Цитата
Настя пишет:
Если не права, форумчане, поправьте!)
Думаю, что Вы правы. Однако, проект вскоре станет утвержденным документом и аттестовать придется в любом случае.
Мне кажется, имеет смысл подождать и аттестовать на соответствие требованиям нового документа (правда, возникнет куча вопросов о порядке проведения аттестации по новым требованим. Как их проверять и т.п. )
Цитата
AlexG пишет:
аттестовать придется в любом случае
почему в любом? в случае

Цитата
Настя пишет:
2) признать систему(-ы) ИСПДн
аттестация ИСПДн не обязательна, даже для ГОСов, этого требования нет нигде.
Доброе Утро) подскажите пожалуйста, в организации есть совет пенсионеров, который поздравляет по праздникам бывших работников организации (т.е. могут быть бабушки и дедушки лет 80). Обрабатываются их ПДн: адрес, телефон, дата рождения, группа инвалидности если имеется. И вот у меня вопрос, необходимо ли брать у данных пенсионеров согласие на обработку ПДн или можно как то обойтись без этого ?
Цитата
Настя пишет:
почему в любом? в случае
Потому, что ГИС, и прежде всего ГИС, а ИСПДн во вторую очередь. Точно не скажу, но ИМХО во всех ГИС обрабатываются ПДн, может 1-2 исключения. А раз требования по ИСПДн выполняются наряду с требованиями к ГИС, то сначала выполняем требования к ГИС (аттестация), в раках которой учитываем и то, что там обрабатываются ПДн.
Да, аттестация, только не как ИСПДн, а как АС

Цитата
Настя пишет:
1) аттестовать систему(-ы) как АС
Цитата
Настя пишет:
Да, аттестация, только не как ИСПДн, а как АС
Раз уж аттестацию придется делать по-любому, то никто не мешает в аттестате на АС написать, что она может обрабатывать ПДн до УЗ1(2,3,4)
Цитата
Сергей С. пишет:
Раз уж аттестацию придется делать по-любому, то никто не мешает в аттестате на АС написать, что она может обрабатывать ПДн до УЗ1(2,3,4)
Согласна. Вообще с недоверием отношусь к понятию "аттестации ИСПДн", т.к. этот процесс нигде не описан и ничем не регламентирован.
Изменено: Настя - 17.01.2013 10:54:34
Цитата
Настя пишет:
Вообще с недоверием отношусь к понятию "аттестации ИСПДн"
Тут вопрос терминологии. Оператор обязан осуществлять контроль (аудит) соответствия обработки ПДн 152 закону и подзаконным актам. А как оформить результаты контроля нигде не установлено (и слава Богу). Дело в том, что аттестационные испытания и аттестация это лицензируемые виды деятельности, и если лицензия есть (либо это внешний аудит у лицензиата), то лучше оформить это все аттестатом соответствия (так привыяней для регуляторов). Если лицензии нет, то оформлять актом.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку