Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
RSS
[ Закрыто ] Каков порядок Аттестации., Есть несколько ИСПДн (2-е ИСПДн Класса 2, 2-е Класса3 )
В организации имеется 4 ИСПДн: 2-е принадлежат к Классу2 , 2-е к Классу3.

Каков порядок проведения аттестации.(и что еще необходимо сделать, для того чтоб для всех проверяющих все было хорошо)?
Какие документы необходимо готовить для аттестации?
Подскажите порядок и перечень необходимых работ для проведения аттестации?
Что еще необходимо сделать ?
Ну сама по себе аттстация является проверкой выполнения требованийи собственно подтверждение выполнения требований. Поэтому все требования по документальному обеспечению и технической защите должны быть первоначально выполнены. Для ИСПДн различного класса аттестация по порядку ничем не отличается. Общий порядок описан в положении по аттестации.
При этом стоит учесть, что техническая защиты информации - лицензируемый вид деятельности.

Споры по поводу лицензии - гдето тут на форуме в многочисленных местах.
Спору по поводу положения по аттестации - гдето тут на форуме в нескольких местах.
Споры по поводу документов - гдето тут на форуме в многочисленных местах.

По поводу аттестации ИСПДн - она вообщето необязательна.

ЗЫ: Давайте новых споров тут не будет разводить ))
Так ... с этим понятно.

споры то всегда ведутся.

Вопрос. Предположим аттестация необязательна.
Но я захотел составить всю документацию самостоятельно. Составил Модель угроз для каждой ИСПДн.
Присвоил Класс согласно описанию.
Вопрос . не имея лицензии на ТЗКИ , я могу осуществлять эту деятельность (да я понимаю что проще в таком случае привлечь стороннюю организацию, которая имеет эту лицензию)?
Насколько тяжело получить лицензию ТЗКИ , и где об этом узнать.

и еще, если Вас не затруднит , можно конкретно указать источник , и саму фразу где отражено необязательность аттестации.

Где найти положение об аттестации.
Самой фразы нет, как и наличия фраз об обязательности аттестации.
Тогда меня все еще интересует такой аспект.

Цитата
Игорек пишет:
Но я захотел составить всю документацию самостоятельно. Составил Модель угроз для каждой ИСПДн. Присвоил Класс согласно описанию. Вопрос . не имея лицензии на ТЗКИ , я могу осуществлять эту деятельность (да я понимаю что проще в таком случае привлечь стороннюю организацию, которая имеет эту лицензию)? Насколько тяжело получить лицензию ТЗКИ , и где об этом узнать.

И если аттестация необязательна.
То какие действия я еще должен провести (регистрация в качестве оператора ИСПДн в роскомнадзоре или что то еще) ?
Конечно можете, вы же оператор. Уведомить РКН обязательно, лучше не медлить. Если будет проверка будет замечание, а может и штраф. Проверка по плану вобще очень новрядли придет. Но может быть неожиданна по чьей то жалобе.
Цитата
Oleg пишет:
Конечно можете, вы же оператор. Уведомить РКН обязательно, лучше не медлить. Если будет проверка будет замечание, а может и штраф. Проверка по плану вобще очень новрядли придет. Но может быть неожиданна по чьей то жалобе

Большое спасибо за пояснение , но чем больше узнаю , тем больше появляются тонкости.

И еще вопрос.

При всей необязательности Аттестации , я обязан принять меры по защите ПДн.

Не имея Лицензии ТЗКИ , я могу осуществлять данные действия ?
В чем именно состоят меры по обеспечению защиты ПДн (установка сертифицированного антивирусного ПО , МЭ , криптографических средств , согласно структуре ИСДПн и ее расположению)?
Насколько сложно и быстро можно получить лицензию ТЗКИ ? (или проще привлечь организацию имеющую лицензию)
Лицензию, в лучшем случае через пол года (официально).
А вот для нее уже и аттестат на АС и аттестат на помещение. Т.е. привлечение сторонней организации с лицензией для аттестации. Далее, все это дело будут проверять на соответствие требованиям защиты. Если пройдет, то дальше проверка у юристов. Если не верно, поправьте. В нашем случае было так.
Получение лицензии только для защиты собственных ИСПДн вопервых выгодно только в действительно больших организациях регионального или даже федерального уровня, вовторых оно пока толком не ясна нужна ли лицензия для собственных нужд.
Запросите у интеграторов применую сумму по защите ваших ИСПДн, если сумма менее 7 знаков, при получении собственной лицензии вы не сэкономите.

Конечно, это все мое личное мнение ).
Цитата
Гость пишет:
Лицензию, в лучшем случае через пол года (официально).

ПП 504 перечитайте. 45 дней не более.
Цитата
Человечище пишет:
ПП 504 перечитайте. 45 дней не более.
Я немного уточню.
ПП 504 от 15.08.2006 содержит лицензионные требования, а сроки рассмотрения приведены в Административном регламенте, введённом приказом Директора ФСТЭК №181.
Там действительно 45 рабочих дней, но в отдельных случаях этот срок может быть ещё продлен.
Реально рассмотрение лицензионного дела во ФСТЭК 2,5 - 3 месяца.

Цитата
Игорек пишет:
Вопрос. Предположим аттестация необязательна.
Но я захотел составить всю документацию самостоятельно. Составил Модель угроз для каждой ИСПДн.
Присвоил Класс согласно описанию.
Вопрос . не имея лицензии на ТЗКИ , я могу осуществлять эту деятельность (да я понимаю что проще в таком случае привлечь стороннюю организацию, которая имеет эту лицензию)?
Ответ.
Нет, не можете Вы осуществлять деятельность по технической защите конфиденциально информации (к которой относятся и персональные данные) без лицензии ФСТЭК потому, что это есть прямое нарушение ФЗ 128 "О лицензировании отдельных видов деятельности".
Вы не совсем правильно понимаете - Вам не просто "проще" привлечь лицензиата, а Вы обязаны это сделать, если сами не хотите иметь эту лицензию.

Цитата
Игорек пишет:
и еще, если Вас не затруднит , можно конкретно указать источник , и саму фразу где отражено необязательность аттестации.
Цитата
Oleg пишет:
Самой фразы нет, как и наличия фраз об обязательности аттестации.
Олег прав.
Но Вы должны будете (при необходимости) доказать регуляторам, что Ваша ИСПДн защищена в соответствии с требованиями ФСТЭК.
На сегодняшний день проще провести аттестацию, чем придумывать что-то новое. Аттестат соответствия, выданный лицензиатом ФСТЭК по ТЗКИ (даже Вами самими при наличии лицензии) снимает большинство вопросов по защите ИСПДн.

Цитата
Игорек пишет:
Где найти положение об аттестации.
При получении лицензии ФСТЭК по ТЗКИ ваша организация должна будет приобрести ряд документов с пометкой "ДСП".
Среди них будут два документа ФСТЭК: СТР-К (специальные требования и рекомендации...) и Временные методики.
В этих документах всё подробно описано.

Цитата
Игорек пишет:
Насколько тяжело получить лицензию ТЗКИ , и где об этом узнать.
Насколько тяжело - можете оценить сами: ПП 504 от 15.08.2006г.
Но как правильно подготовиться к лицензированию и при этом съэкономить время и финансы Вам могут подсказать у нас.
Пишите письма - мой адрес в профиле.
С уважением, Шахалов И.Ю.
Г-н Шахалов, добрый день!
Когда Вы пишете об аттестации, Вы имеете ввиду аттестацию объекта информатизации?
(в соотв. с Положением по аттестации объектов информатизации по требованиям безопасности информации от 25.11.1994)

Там написано, что аттестация проводится органом по аттестации, аккредитованым Гостехкомиссией России. (теперь ФСТЭК РФ)

Т.е. для проведения Аттестации ИСПДн необходимо наличие Аттестата аккредитации, одной лицензии на ТЗКИ - недостаточно.
Вы согласны?
Изменено: Юрий - 29.10.2010 11:13:33
Цитата
Юрий пишет:
Г-н Шахалов, добрый день!
Когда Вы пишете об аттестации, Вы имеете ввиду аттестацию объекта информатизации?
(в соотв. с Положением по аттестации объектов информатизации по требованиям безопасности информации от 25.11.1994)

Там написано, что аттестация проводится органом по аттестации, аккредитованым Гостехкомиссией России. (теперь ФСТЭК РФ)

Т.е. для проведения Аттестации ИСПДн необходимо наличие Аттестата аккредитации, одной лицензии на ТЗКИ - недостаточно.
Вы согласны?
Уважаемый Юрий!
К великому сожалению, вынужден не согласиться с Вами.
Во-первых, да, я имею в виду "аттестацию объекта информатизации".
В-вторых, документ, на который Вы ссылаетесь, относится к защите гостайны.

Было бы очень неплохо, если бы аттестацию объектов информатизации (в части конфиденциальной информации) поручили бы только органам по аттестации - было бы порядка больше и качество работ лучше, но, увы...
Изменено: Игорь Ю. Шахалов - 01.11.2010 15:40:40
С уважением, Шахалов И.Ю.
Цитата
Игорь Ю. Шахалов пишет:
В-вторых, документ, на который Вы ссылаетесь, относится к защите гостайны.

Будьте добры поясните, почему упомянутое "Положение по аттестации..." относят только к гостайне?
Текст положения такой четкой границы не формирует. Может быть это утверждение следует из цепочки вышестоящих нормативных актов ? или какая другая причина ?
1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Анна, в данном пункте нет ни слова об области действия положения !
Цитата
Валерий Д. пишет:
Будьте добры поясните, почему упомянутое "Положение по аттестации..." относят только к гостайне?
Текст положения такой четкой границы не формирует. Может быть это утверждение следует из цепочки вышестоящих нормативных актов ? или какая другая причина ?
Цитата
Валерий Д. пишет:
Анна, в данном пункте нет ни слова об области действия положения !
Валерий!
Анна абсолютно права, цитируя п. 1.5 "Положения...":
Цитата
Анна пишет:
1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Я бы добавил еще ссылку на п. 1.2.:
"1.2. Положение разработано в соответствии с законами Российской Федерации “О сертификации продукции и услуг” и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Положением о государственном лицензировании деятельности в области защиты информации", "Положением о сертификации средств защиты информации по требованиям безопасности информации", "Системой сертификации ГОСТ Р".

Как видите, ссылок на документы по защите конфиденциальной информации нет. В принципе и документов-то по защите КИ в том далёком 94-м особо-то и не было...
Что касается п. 1.5, любезно процитированного Еленой.
Постараюсь дать разъяснение.
Данный пункт гласит, что аттестация объектов информатизации, где циркулирует информация, содержащая гостайну, должна проводиться только аккредитованными органами по аттестации.
Вместе с тем, объекты информатизации, где циркулирует конфиденциальная информация могут аттестовываться органами по аттестации.
Акцентирую: должны и могут.

В то же самое время лицензия по ТЗКИ даёт право на осуществление мероприятий и оказание услуг. Исходя из того, что органы по аттестации только могут, а не должны аттестовывать ОИ с КИ, то никто не может запретить лицензиату по ТЗКИ осуществлять такую аттетсацию.
Вот где-то так…
С уважением, Шахалов И.Ю.
Игорь.
Не нужно переворачивать все с ног наголову и добавлять чтото от себя в этот пункт.

В этом пункте лишь говориться о том, что объекты информатизации, обрабатывающие гостайну подлежат обязательной аттестации. и ничего более!
Цитата
аттестация объектов информатизации, где циркулирует информация, содержащая гостайну, должна проводиться только аккредитованными органами по аттестации.
- этих строк здесь нет.
Цитата
Вместе с тем, объекты информатизации, где циркулирует конфиденциальная информация могут аттестовываться органами по аттестации.
- этих слов тоже нигде нет.

1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы аттестации объектов инфоpматизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.
Вот пункт определяющий область действия положения. Никаких исключений для ОИ гостайны или ОИ конфиденциалки.

1.3. Система аттестации объектов информатизации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации

Обратимся к системе сертификации по требованиям безопасности, а именно
"Положение о сертификации средств защиты информации по требованиям безопасности информации" от 27 октября 1995 г.

1.3. Система сертификации средств защиты информации по требованиям безопасности информации включает в себя аттестацию объектов информатизации* по требованиям безопасности информации.

1.2 ... Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.

1.6. Обязательной сертификации подлежат средства защиты информации **, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, средства общего применения, предназначенные для противодействия техническим разведкам.

Вот, как мне кажется, изначально все противоречия по сертификации и аттестации конфиденциальных систем выходят из обоюдной противоречивости п.1.2 и п.16 положения по сертификации.
Но тем не менее существует только 1 документ определяющий порядок аттестации - положение по аттестации. Порядок, оговренный в нем общий и для систем с гостайнос и для систем с конфиденциалкой. И уточнение об обязательности аттестации гостайны никак не отменяет применение порядка аттестации для конфиденциальных систем.

Вывод: аттестация - понятие целостное и не прикручено к гостайне или конфиденциалке. Порядок аттестации определен в положении. По этому порядку аттестацию должны проводить аккредитованные органы по аттестации в добавок имеющие лицензию на сопуствующий тип деятельности.

Про то, что ФСТЭК разрешает проводить аттестацию без аттестата я вкурсе.. но это во первых, с юридической точки зрения не верно. Во вторых, на данный момент предусмотренна акрредитация только на аттетсацию объектов гостайны (опять противоречие). Об необходимости аккредитациина аттестацию конфиденциалки никто во фстэке не задумывался.

А я лишь хотел вам открыть глаза на сложившуюся ситуацию, а то уже порядком надоело, что все упираются в п.15(который неочем не говорит) и нехотят дальше поразмыслить. Если мы не будем влиять на качество работы ФСТЭК... положение в подведомственной ему области действия не измениться, а будет все только запутанней и противоречивей.
Цитата
Валерий Д. пишет:
Не нужно переворачивать все с ног наголову и добавлять чтото от себя в этот пункт.
Что Вы, что Вы!
И в мыслях не было!
Просто хотел сказать ровно то же, что и Вы:
Цитата
Валерий Д. пишет:
Про то, что ФСТЭК разрешает проводить аттестацию без аттестата я вкурсе.. но это во первых, с юридической точки зрения не верно. Во вторых, на данный момент предусмотренна акрредитация только на аттетсацию объектов гостайны (опять противоречие). Об необходимости аккредитациина аттестацию конфиденциалки никто во фстэке не задумывался.
Так что где голова... где ноги...

Цитата
Валерий Д. пишет:
А я лишь хотел вам открыть глаза на сложившуюся ситуацию, а то уже порядком надоело, что все упираются в п.15(который неочем не говорит) и нехотят дальше поразмыслить. Если мы не будем влиять на качество работы ФСТЭК... положение в подведомственной ему области действия не измениться, а будет все только запутанней и противоречивей.
И с этим согласен.
Более того. Я считаю, как уже сказал в предыдущем посте, что качество работ по аттестации ОИ по КИ было бы гораздо выше, если бы эти работы проводили бы ТОЛЬКО органы по аттестации.
О чём неоднократно имел беседы с представителями ФСТЭК. Они, кстати, разделяют эту точку зрения.

Так что, как видите, глаза у меня открыты и смотрят в ту же стороны, что и Ваши.
Изменено: Игорь Ю. Шахалов - 03.11.2010 18:50:07
С уважением, Шахалов И.Ю.
Подскажите, так всё же нужно ли в обязательном порядке аттестовывать ИСПДн (мед.учреждение, класс К1)?
Страницы: 1 2 3 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)