Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
переаттестация, vasilich
У нас локальная сеть из 3-х компютеров аттестована под 1Г. Значит это, что необходима новая переатестация, если мы ее классифицировали как ИСПДн К3?
Цитата
Гость пишет:
Значит это, что необходима новая переатестация, если мы ее классифицировали как ИСПДн К3?
Пока не требуется, даже если распределенная, т.к. четырехкнижие не введено.
После ввода двукнижия (планируется) ФСТЭК - не исключено если у Вас распределенная К3. Но если не будут сильно изменены требования то Вам не так уж много потребуется доделывать (МЭ, ПМВ и антивирусная подсистема) - т.к. К3 это усиленный 1Д (см. табличку в моем посте от 23 июня)
to Гость:
Если система аттестована по 1Г и Вы провели классификацию как ИСПДн 3 класса, Вам необходимо указать тип системы - типовая или специальная.
Если ИСПДн типовая - Вам необходимо принять решение о необходимости аттестации или декларации соответствия.
Если аттестация - необходимо проводить повторную аттестацию с указанием в аттестате класса ИСПДн.
Если система специальная - необходимо написание модели угроз. Аттестация, скорее всего необходимо будет проводить повторно. Здесь основной вопрос, что будет включено в модель угроз для ВАшей информационной системы.
to toparenko:
4-х книжие ФСТЭК по защите персональных данных утверждено приказами ФСТЭК.
Споры о действительности данных документов предлагаю оставить депутатам и адвокатам, последние неплохо заработают на своих клиентах при защите их интересов в судах.
Новость в тему ;)

LETA защитила персональные данные в крупном подразделении Госкорпорации «Росатом»

Обращаю внимание, что аттестовали по
Цитата
toparenko пишет:
Пока не требуется, даже если распределенная, т.к. четырехкнижие не введено.
Четырехкнижие утверждено Зам. директора ФСТЭК России. Работы проводит лицензиат для которого эти документы уже что-то значат! ;-)

Цитата
toparenko пишет:
Но если не будут сильно изменены требования то Вам не так уж много потребуется доделывать (МЭ, ПМВ и антивирусная подсистема) - т.к. К3 это усиленный 1Д

Если есть информация, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, то подключение к информационно-телекоммуникационным сетям международного информационного обмена не допускается!
НО! Если очень нужно см. п. б) Указа Президента РФ №351 от 17.03.08.
Если система распределенная или подключена к сетям общего пользования, то МЭ уже должен был стоять.

Цитата
toparenko пишет:
ПМВ и антивирусная подсистема
- это одно и тоже, и в системе 1Г антивирусначя защита должна стоять ;-) , добавляестся система обнаружения вторжения, хотя она и раньше была до 4-х книжия.

Цитата
toparenko пишет:
Обращаю внимание, что аттестовали по 1Г

Там написано и К3. Есть утвержденная форма аттестата соответсвия ;-)
Но, вот не пойму, зачем аттестововали, если они им: "на завершающем этапе была разработана декларация о соответствии"? Просто денег содрали ещЁ!? Но не буду дальше что-то говорить...

Цитата
Гость пишет:
У нас локальная сеть из 3-х компютеров аттестована под 1Г. Значит это, что необходима новая переатестация, если мы ее классифицировали как ИСПДн К3?

C одной стороны ПДн- это конфиденциальная информация! С другой - должны быть разработаны доп. документы на объект информатизации (ИСПДн) в исполнении ФЗ 152 и на основании их должены быть проведены аттестационные испытания и выдан аттестат соотвтесвтия, учитыващий документы по персональным данным.
Если как К3 вы её сейчас классифицировали - то декларацию соответствия или аттетсацию.

И не забывайте что аттестат действителен при проведении ежегодных контрольных испытаний.
Цитата
Gennadiy Anosov пишет:
Работы проводит лицензиат для которого эти документы уже что-то значат!
Работы проводятся для заказчика для которого эти документы ничего не значат, пока не введены установленным порядком. См. соседнюю ветку:
Цитата

toparenko пишет:
Да и пока остается открытым вопрос применимости четырекнижия и СТР-К ФСТЭК/Гостехкомиссии и 2-х РД по ПДн ФСБ. См. п.19 Правил, введенных Постановлением Правительства Российской Федерации от 13 августа 1997 года № 1009.
Если обратите внимание, то при проверках о четырехкнижии вообще не вспоминается. Т.к. если вспомнят - то сразу можно все результаты проверки обжаловать в суд (хотя, при желании, таким же образом можно и СТР-К туда же ;) ).
Цитата

toparenko пишет:
Да и пока остается открытым вопрос применимости четырекнижия и СТР-К ФСТЭК/Гостехкомиссии и 2-х РД по ПДн ФСБ. См. п.19 Правил, введенных Постановлением Правительства Российской Федерации от 13 августа 1997 года № 1009.
Если обратите внимание, то ...о четырехкнижии вообще не вспоминается. Т.к. если вспомнят - то сразу можно все результаты проверки обжаловать в суд (хотя, при желании, таким же образом можно и СТР-К туда же ;) ).

Ну по поводу п.19 Правил, введенных ПП РФ № 1009 РФ от 13 августа 1997 года. Документы с пометкой ДСП! :-)
Ещё бы ссылку на судебную практику по этому ))) Дабы обжаловать в суде! СТР-К утвержден в 2002 году, и ....

ТО что в предписании ничего не написали про 4 документа, ещё ничего не говорит!
Цитата
Gennadiy Anosov пишет:Документы с пометкой ДСП!
Это касается только опубликования.

Но не касается подписывающего должностного лица и регистрации (проверки на коррупционность) в Минюсте. А как раз эти пункты не выполнены.
Цитата
Gennadiy Anosov пишет:
Ещё бы ссылку на судебную практику по этому
Так СТР-К, пока, не были обязательными для коммерческих организаций :-D

А гос./муниципальные организации о нем не всегда вспоминали... А если вспоминали, так иногда такие "перлы" были...
Например в одной уважаемой гос. организации в 2003-м видел документ, во исполнение СТР-К, о проведении спецобследования методом визуального осмотра :lol:
Изменено: toparenko - 03.07.2009 10:19:47
Цитата
toparenko пишет:
Это касается только опубликования.

Но не касается подписывающего должностного лица и регистрации (проверки на коррупционность) в Минюсте. А как раз эти пункты не выполнены.

ПП РФ № 1009 РФ от 13 августа 1997 года

Цитата
I.1.
Проект нормативного правового акта, по которому имеются неурегулированные по результатам проведенных согласительных совещаний разногласия:

может быть подписан (утвержден) руководителем соответствующего федерального органа исполнительной власти и направлен на государственную регистрацию в Министерство юстиции Российской Федерации;

II.12
Представленный на государственную регистрацию нормативный правовой акт должен быть подписан (утвержден) руководителем федерального органа исполнительной власти

А утвержден он, как я уже выше писал Замом :-)

Цитата
toparenko пишет:
Так СТР-К, пока, не были обязательными для коммерческих организаций
Но обязательная аттестация по Постановлениям Правительства, аттестовывать должен лицензиат по СТР-К. Всё хитро ;-)
Цитата
Геннадий Аносов пишет:
А утвержден он, как я уже выше писал Замом
Вот именно, что замом, а не Директором ФСТЭК - это первое нарушение для четырехкнижия.
По документам ФСБ, так те вообще утверждены начальником центра - что тоже является нарушением.

Вторым нарушением для обеих групп документов и для СТР-К (на которое было получено отрацательное заключение Минюста т.к. небыли определены источники финансирования работ по его выполнению) является отсутствие регистрации в Минюсте или отметки Минюста, что документы не подлежат регистрации...

Т.ч. согласно ПП1009 данные документы не подлежат исполнению.
Цитата
Геннадий Аносов пишет:
аттестовывать должен лицензиат по СТР-К
Не факт ;)
Есть ГОСТы по АСЗИ для гос. организаций и есть РД, которые были выпущены до ПП1009.

Кроме этого есть куча ГОСТов о которых в четырехкнижии не вспомнили: ГОСТ Р ИСО/МЭК 13335-1-2006, ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК ТО 13335-4-2007, ГОСТ Р ИСО ТО 13659-2007, ГОСТ Р ИСО/МЭК ТО 18044-2007, ГОСТ Р ИСО/МЭК 15408-2-2008, ГОСТ Р ИСО/МЭК 15408-2-2008, ГОСТ Р ИСО/МЭК 15408-3-2008 и т.д.
Цитата
toparenko пишет:
Цитата
Геннадий Аносов пишет:
аттестовывать должен лицензиат по СТР-К
Не факт ;)
Есть ГОСТы по АСЗИ для гос. организаций и есть РД, которые были выпущены до ПП1009.

:?: :?: :?:
Если не по технической защите конфиденциальной информации, возможно!
Или мы друг друга не поняли...
Или в системе сертификации отличной от ФТСЭК № РОСС RU.0001.01БИ00.
Газпровоской системы сертификации
или ещё какой-нить добровольной... :D
Цитата
Геннадий Аносов пишет:
Если не по технической защите конфиденциальной информации, возможно !
Или мы друг друга не поняли...
Знакомы такие? ;)
ГОСТ Р 51583–2000. Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения
ГОСТ Р 51624–2000. ЗАЩИТА ИНФОРМАЦИИ. АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. ОБЩИЕ ТРЕБОВАНИЯ

См.
Цитата
toparenko пишет:
См.
Указанная Вами ссылка пустая!
Цитата
toparenko пишет:
Кроме этого есть куча ГОСТов о которых в четырехкнижии не вспомнили:
И хорошо что не вспомнили, и так натолкали что смогли.

Цитата
toparenko пишет:
Знакомы такие?
И...
Вас смущает:
а. Лицензиат?
б. СТР-К?
Что именоо не факт?
Цитата
Геннадий Аносов пишет:
Указанная Вами ссылка пустая!
Извиняюсь - в той ссылке лишний последний знак.
Цитата
Геннадий Аносов пишет:
И хорошо что не вспомнили, и так натолкали что смогли.
С другой стороны - плохо. Т.к. защита идет не от рисков, а от угроз.
Цитата
Геннадий Аносов пишет:
И...
Вас смущает:
Меня ничего не смущает. ;) Это был ответ на Ваш пост 03.07.2009 17:12:28, где Вы не вспомнили ГОСТы по ТЗКИ (в том числе) для гос. организаций. И которые закрывают большую часть того, что есть в СТР-К - но в отличии от СТР-К их правоприменимость не вызывает сомнений.
Изменено: toparenko - 09.07.2009 13:08:47
Цитата
toparenko пишет:
Извиняюсь - в той ссылке лишний последний знак.
по это ссылке, только названия документов.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку