Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Нужен ли сертификат на ПК для работы в ИСПДн К1?
Здравствуйте!
Возник вопрос, однозначного ответа на который я не могу найти Печально
Хотим закупить новые компьютеры, нам предлагают компьютеры сертифицированные ФСТЭК (они соответственно дороже, чем аналоги без сертификата).
Краткое описание:
Организована локальная сеть не имеющая доступа в Интернет, в этой сети обрабатываются ПД относящиеся к ИСПДн К1. При том вся информация обрабатывается и хранится на сервере, компьютеры подключаются к БД через клиентское приложение (принцип работы напоминает тонкого клиента 1с 8.2). Все ПО естественно лицензионное.

Обязательно ли нужно покупать компьютеры сертифицированные ФСТЭК для работы с ИСПДн К1 или же можно обойтись без этого?

За ранее благодарю.
Михаил, забудьте про К1 и про сертификацию компьютеров. Классов ИСПДн давно нет, соответственно требований, которые к ним раньше предъявлялись, тоже нет.
Вместо классов есть уровни защищенности, и по Приказу 21 ни о какой сертификации технических средств речи не идет. Покупайте обычное железо и защищайте по Приказу ФСТЭК №21.
Понял, спасибо!
Нужно ли оклеивать системные блоки, чтоб видеть лазил туда кто-нибудь?
А как же тогда ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»? Он же вроде действует?

согласно
п.8 В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.
443110215@qip.ru (13:22:45 23/05/2014)


п.11 Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2007, N 19, ст. 2293; N 49, ст. 6070; 2008, N 30, ст. 3616; 2009, N 29, ст. 3626; N 48, ст. 5711; 2010, N 1, ст. 6; 2011, N 30, ст. 4603; N 49, ст. 7025; N 50, ст. 7351; 2012, N 31, ст. 4322; 2012, N 50, ст. 6959).
Цитата
Михаил пишет:
А как же тогда ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»? Он же вроде действует?
Вы написали, что у вас ИСПДн, а не ГИС. Причем тут 17-й приказ?

Цитата
Михаил пишет:
п.11 Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации , прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»
Если вы используете компьютер как средство защиты информации (а не как средств ее обработки), тогда придется сертифицировать ;)
Нормальные люди ставят в компьютер сертифицированные СЗИ (антивир, СЗИ от НСД и т.д.). Этого достаточно.
AlexG, спасибо огромное!
А насчет ГИС и ИСПДн, я думал это одно и тоже :D

Блин, тогда я чуть-чуть запутался. У нас государственное бюджетное учреждение здравоохранения, в ИС содержаться ПД пациентов, по идее это же ИСПДн или же все таки ГИС?
Не для всех ГИС требуется сертификация технического и программного обеспечения, вообще по ГИС уточняйте требования по ЗИ в их ЦОДах в отделах эксплуатации СЗИ.
Цитата
Vitaly Bondarew пишет:
Не для всех ГИС требуется сертификация технического и программного обеспечения, вообще по ГИС уточняйте требования по ЗИ в их ЦОДах в отделах эксплуатации СЗИ.
Спасибо
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)