Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Вопрос по аттестации 1 "Г"
Доброго всем времени суток. Натолкнулся на ваш форум. Надеюсь что тут мне помогут и не закидают сразу камнями. В общем устроился я на работу в госконтору (172 машины, 12 серверов) помощником админа. Предложили должность "администратора безопасности". Тут как снег на голову свалось требование в кратчайшие сроки подготовить документы и самое главное выяснить какие нам надо выполнить требования для сертификации по классу 1 "Г".
Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.) я нашёл. Прочитал требования для своей сети. более менее ясно. но есть пара вопросов.
1. у нас в сети используется Cisco ASA 5510. нужны ли для неё какие-то сертификаты для этой атестации (да/нет, почему - т.е. желательно название документа, который это регламентирует, шэф у меня очень въедливый и требует доказывать любое слово - документально)
2. нам нужен именно класс 1 "Г" (конфиденциалка). А персональные данные чем классифицируются? (2-й, 3-й класс или это вообще другая классификация?)
3. На сайте ФСЭКа http://www.fstec.ru/_razd/_karto.htm есть "Перечень органов по аттестации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00". Получается что сертифицировать и выдать нам этот класс 1"Г" могут ТОЛЬКО конторы указанные в этом документе?
4. Вопрос для общего развития. Просто я окончательно запутался.... Туда ли я вообще попал. Иформационные системы персональных данных(ИСПДн) - это вообще то. Т.е. классификация которая приведена в документе который я обозначил выше относится именно к этому? Или это всё же АС (Автоматизированные Системы)? А что тогда ИСПД?

Пока всё. надеёюсь на скорый и информативный ответ. но всё равно спасибо за внимание.
Изменено: Денис - 20.09.2012 10:35:46
Денис,
1. В РД в требованиях к 1Г "Использование сертифицированных средств защиты" стоит минус. Но ФСТЭК считает, что должны использоваться сертифицированные СЗИ. Если ваш Циско выполняет роль МЭ в АС, => он СЗИ => должен иметь сертификат соответствия ФСТЭК.
2. Класс 1Г: вы правильно назвали РД, по которому клас-ся система.
По клас-ции ИСПДн читайте Приказ ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008"Об утверждении Порядка проведения классификации информационных систем персональных данных"
3. Это перечень по аттестации средств защиты. Вам же нужна фирма, имеющая лицензию на ТЗКи, Перечень лицензий на ТЗКИ.
4. Своими словами, есть гос.тайна, а есть конфиденциалка. ГТ мы не берём.
К конфиденциалке относится всё, что не ГТ, в том числе АС и ИСПДн.
Аттестация есть только для АС. ИСПДн аттестуется как АС. Требования для 1Г одинаковы с ИСПДн класса 2 (сравните 58 приказ и РД).
Денис, Вы попали не на тот форум, здесь обсуждают персональные данные, а Вам, судя по всему, нужна гос.тайна или для "ДСП".
ИСПДн- информационная система персональных данных (делится от К4 до К1), а Ваше "1Г" относится к автоматизированным системам. Рекомендую обратиться на форум по информационной безопасности, например, www.itsec.ru

по 1 вопросу: на все оборудование по защите информации нужны сертификаты соответствия с синей печатью и голограммой, если их нет - не беда, орган по аттестации за денежку сам их закажет.
по 2 вопросу: персональные данные - отдельная тема, забудьте про них, Вам они не нужны.
по 3 вопросу: нет, должен быть список кто может аттестовывать,да это он, ищите из списка самый ближайший к Вам и подписываете с ними договор, они же и скажут Вам какие документы и какое оборудование надо.
Изменено: Squirrel - 20.09.2012 12:19:51
Цитата
Squirrel пишет:
Денис, Вы попали не на тот форум, здесь обсуждают персональные данные, а Вам, судя по всему, нужна гос.тайна или для "ДСП".
не согласна, на этом форуме в ветках "Лицензирование" и "Общие вопросы" обсуждаются также и вопросы, не касающиеся ПДн.
Например, в теме Получение лицензии ФСТЭК на ТЗКИ с нуля, поднятой мной, обсуждается как раз и аттестация АС, т.к. это одно из требований к лицензиату. Да и ещё много где.
Настя,
извиняюсь, не обращала внимания на эти темы :oops:
Страницы: 1
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку