Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

to Татьяна:

В дополнение к сказанному ранее: если есть потребность где-то отразить мероприятия по защите вновь вводимых сегментов ГИС со сроками выполнения этих мероприятий, то для этого может использовать планирование мероприятий по защите информации в ГИС, предусмотренное пунктами 18 и 18.1 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17.

СМ, спасибо

Добрый день! Подскажите, пожалуйста, новичку в данном вопросе... Мы орган местного самоуправления, который имеет доступ/подключение к огромному количеству ГИСов, например, Закупки, ГАСУправление, ЕИАС и т.д.
Как мы должны рассматривать рабочие места пользователей - как ИС, ИС ПДн или все-таки сегмент ГИС.
Аттестовывать или нет?

to Анна
ИСПДн и ГИС - суть разные вещи, поскольку предусматривают обработку информации ограниченного доступа, содержащую суть разные сведения. Однако, могут быть случаи, когда ОИ = ИСПДн + ГИС (регулятор в 77 Приказе их явно предусмотрел, ага), могут быть ОИ = ИСПДн и другой ОИ = ГИС...
В вашей ситуации бежать поперек паровоза не имеет смысла. Корректнее будет задать оный вопрос по адресу каждой ГИС, с которой у вас обеспечено какое-либо взаимодействие. И действовать согласно полученному ответу...
Может статься, что какие-то ГИС ваши "рабочие места" уже предусмотрели как "сегмент ГИС", аттестовали сами и выставили вам требования безопасности, которые вы должны соблюдать при взаимодействии. А какие-то забили на этот процесс и тупо не подают вида о том, что с ними взаимодействуют сторонние организации/органы, де юре и де факто не покрытые по вопросам безопасности...
В любом случае, мяч по определению требований (нарушителей, угроз, etc) к ГИС и к означенному взаимодействию всегда на стороне Владельца ГИС и Оператора ГИС, а не на вашей стороне (если только вас таким Оператором официально не признали, хотя об этом вы бы уже были в курсе). Но стоит помнить, что в случае, когда Владелец/Оператор не сподобились определить требования безопасности при взаимодействии с другими организациями/органами/системами, с этих сторон также ответственность за обеспечение безопасности не снимается. Особенно в случае явного нарушения, утечки и т.п. То ли дело, что официальных прецедентов мало и практика по ответственности кривая...

to oko

Спасибо за ответ!)
Вопрос возник ввиду ожидаемой проверки, в ходе которой у нас запрашивают следующее: "Наличие документов на сегменты ГИС (технический паспорт на систему, модель угроз и т.д.)".
Если я верно трактую вопрос - наши рабочие места в той же ГИС ЖКХ можно рассматривать как сегмент ГИС?
Если да, то у нас все эти документы должны быть?
Или если нет от Владельца/Оператор системы требований, то мы должны рассматривать наши подключения как отдельную ИС и разрабатывать эти же документы, без учета ядра ГИСа?

to Анна
Еще раз: обращайтесь к Владельцу/Оператору каждой ГИС, с которой взаимодействуете, и задавайте им вопрос про сегментирование и/или регламенты и требования безопасности. Лучше них ни один аноним с форума не ответит, ага...
И, если речь идет о подключении к федеральным ГИС, то, насколько знаю, из них не осталось ни одной, не покрытой хотя бы формальными требования и аттестационными испытаниями. Т.е. комплект требований и мер защиты будет при любом раскладе (то ли дело, что может быть несуразным, но вас это как абонента не волнует - если можно выполнить, то выполняйте и не ищите истины)...
Если хотите перестраховаться, то, конечно, можете свои абонентские системы считать отдельной ИС-с-натянутыми-требованиями-ГИС (чтобы не носить свою систему на согласование во ФСТЭК и ФСБ в части ТЗ и Модели). Только как в такой ситуации определить корректный класс? К3? А вдруг на стороне нужной ГИС предусмотрено К2? Только базовые меры защиты? А вдруг на стороне нужной ГИС есть расширенный набор мер или часть мер вообще не нужна (обоснована)?

А может ли сторонняя организация при подключении к ГИС (в качестве пользовательского сегмента) акт соответствия пользовательского сегмента требованиям безопасности ГИС утвердить и подписать составом комиссии из числа своих работников?