Адрес документа: http://lib.itsec.ru/forum.php?sub=11336&from=0
| Автор: Дмитрий | 59383 | 28.10.2015 13:20 |
|
Имеется учреждение здравоохранения. Оно является частью ГИС "Региональный фрагмент единой государственной информационной системы в сфере здравоохранения"
Пункт 17.3 приказа ФСТЭК №17 гласит: «Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации. В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания. Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации. Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы. В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации. Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.» В связи с этим хочу уточнить пару моментов: 1. Если ГИС имеет аттестацию, то, исходя из вышеуказанного, сегменты (т.е. в том числе учреждения здравоохранения) должны быть так же аттестованы (с сопутствующим пакетом документации). Или по крайней мере один типовой сегмент для дальнейшего унифицированного внедрения во все учреждения здравоохранения, имеющие отношение с ГИС. Правильный ли ход мыслей? 2. Распространяется ли требования 17 приказа на другие ИСПДн находящиеся в учреждении здравоохранения («Кадры», «Бухгалтерия»)? Или они относятся к 21 приказу? Спасибо. |
|
| Автор: Андрей Мозговой | 59385 | 28.10.2015 15:44 |
|
По второму вопросу:
Согласно п.3 и п.6 Приказа, его требования распространяются на ГИС и МИС и могут применяться в других ИС по решению обладателя. информации. Кадры и бухгалтерию теоретически тоже можно отнести к МИС, хотя и с натяжкой - тогда руководствуйтесь 17 Приказом. Если это у вас ИСПДн - то 21 Приказом, но при желании можете применять 17. Есть нюанс: выполнение требований 17 Приказа хотя и освобождает от необходимости выполнения требований 21го (при условии соответствия непревышения УЗ ПДн класса ГИС, п.27), но если у Вас обрабатываются ПДн - требования остальных документов в области защиты ПДн выполнять все равно придется (ПП1119, Приказ ФСБ 378 и т.д.). По первому вопросу: Если Ваша ИС будет являться сегментом УЖЕ аттестованной ГИС, то следует читать аттестационную документацию ГИС (так как "условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия", и если при аттестации возможность распространения аттестата на сегменты не предусмотрели - то автоматически ничего не распространится до следующей аттестации ГИС). Если ГИС еще не аттестована - то при аттестации следует определить перечень сегментов (реальных и потенциальных), сгруппировать их по "типовости" (п.17.3 Приказа), при аттестации провести испытания на хотя бы 1 из сегментов каждого типа (в совокупности должен полностью охватываться техпроцесс обработки информации в ГИС) и разработать порядок распространениея аттестата на сегменты, соответствующие "типовым", прописав его в том числе в программе и аттестате. После чего приводим сегмент в соответствие с проверенным при аттестации, подтверждаем это при приемке сегмента и пишем акт распространения аттестата №__ на сегмент такой-то. |
|
| Автор: Дмитрий | 59397 | 29.10.2015 12:31 |
|
Андрей Мозговой, благодарю за развернутый ответ.
Согласно п 17.5 ГИС вводится в эксплуатацию только при наличии аттестата соответствия. Сама ГИС "РЕГИЗ" была введена в эксплуатацию в 2011. Соответственно она уже прошла аттестацию. В наше учреждение здравоохранения недавно приезжали специалисты и проводили анализ контроля защищенности конфиденциальной информации от НСД и ее модификации. Были выданы отчеты с результатами и рекомендациями по устранению уязвимостей. Но это же не является аттестацией. В связи с этим вопрос - может ли ГИС получить аттестат соответствия без проведения аттестации ее сегментов? |
|
| Автор: Андрей Мозговой | 59398 | 29.10.2015 13:28 |
|
Здесь вопрос в определении границы ГИС.
Если рассматривать систему как совокупность "ядра" (ЦОД, сервер с БД, сервер с СПО и т.д.) и набора "клиентов" (Клиентские АРМ, ЛВС, и т.д., разбросанные по территории), то есть варианты: 1. ГИС = только "ядро". В этом случае при аттестации проверяется только оно и в аттестат соответствия, естественно, включается только оно. В этом случае "клиенты" представляют собой отдельные ГИС/МИС и должны иметь отдельные аттестаты, которые и будут необходимым условием подключения к "большой" ГИС (точнее, это будет взаимодействие отдельных аттестованных объектов информатизации). Соответственно, и аттестационные испытания на клиентских ГИС/МИС будут проводиться отдельно, возможно - разными организациями, с разными подходами и т.д. С моей субъективной точки зрения такой подход не является рациональным, кроме случая, когда Оператору "большой" ГИС нет особого дела до организаций, которые к ней должны подключаться (проблемы индейцев шерифа не волнуют). 2. ГИС = совокупность "ядра" и заранее определенного количества "клиентов", что фиксируется сразу, при этом при аттестации зачастую игнорируется возможность "сегментного" подхода, проводятся испытания на всех объектах, что и фиксируется в аттестационной документации. При этом добавление новых клиентов возможно либо как отдельных ГИС/МИС (как в п.1), либо при "доаттестации" ГИС организацией, выдавшей аттестат ранее, по договоренности. Подход дорогой, применяется в основном либо для очень статичных систем, либо для очень уж разношерстных, где проблематично выделить типовые сегменты. Ну, еще для систем, где актуален ПЭМИН и иже с ним, или если за ИБ у оператора "большой" ГИС отвечает специалист "старой закалки", который привык ориентироваться на подходы к защите ГТ. 3. ГИС = совокупность "ядра" и набора типовых клиентов, в совокупности реализующих полных ТПОИ. Здесь при аттестации испытания проводятся на ограниченном количестве сегментов + пишутся требования по распространению аттестата на сегменты, соответствующие типовым. В идеале - оперативно проводятся мероприятия по такому распространению для максимального количества таких клиентов, так как иначе до этой процедуры клиенты не смогут подключиться к "большой" ГИС (а в реальности - все равно работают в ней, что является нарушением). Последующие клиенты либо аттестуют свои ГИС/МИС как отдельные ОИ, либо приводят свои системы в соответствие с требованиями к типовым, проводят их приемку, составляют акт соответствия, направляют его Оператору "большой" ГИС и если все хорошо получают акт распространения аттестата "большой" ГИС на свой сегмент. Как раз в этом случае на большинстве сегментов ГИС, которые уже не будут отдельными ОИ, будет проводиться не аттестация, а оценка соответствия сегмента аттестованному. Какой у Вас случай и что написано в аттестате "большой" ГИС - не знаю |
|
| Автор: Дмитрий | 59399 | 29.10.2015 13:44 |
|
Вас понял. Буду обращаться к обладателю ГИС за разъяснением.
Еще раз большое спасибо! |
|
| Автор: Анатолий | 65022 | 19.08.2016 10:53 |
|
Здравствуйте.
Начальство требует утвержденный вид Акта соответствия и Акта распространения аттестата. Есть ли они вообще? Насколько я знаю, таких документов по ГИСам не было сделано и разрабатывать эти документы самим. На что ссылаться, что бы убедить начальство? |
|
| Автор: Евгений | 70221 | 28.03.2017 14:40 |
|
Здравствуйте!
Создаем распределенную ГИС, которая состоит из серверного сегмента и клиентского сегмента (совокупность типовых АРМов, объединенных в локальную сеть). Возможно ли на этапе аттестации заложить в аттестационные документы, чтобы аттестат соответствия распространялся также и на типовые рабочие места (по такому же составу что аттестованные), которые мы будем в будущем добавлять в клиентский сегмент? |
|
| Автор: oko | 70222 | 28.03.2017 15:03 |
|
Приветствую!
Можно. Если вновь добавляемые рабочие места ничем не отличаются от существующих. Ни программно-аппаратным составом (с допустимыми отклонениями), ни технологиями подключения к серверному сегменту, ни уязвимостями (которых не должно быть, ага), ни иными параметрами безопасности. |
|
| Автор: Евгений | 70228 | 28.03.2017 15:41 |
|
oko, спасибо за информацию.
|
|
| Автор: Dfg | 70245 | 29.03.2017 06:18 |
|
Кстати новые изменения уже утвердили. Работаем по обновленному 17 приказу .
|
|
| Автор: oko | 70262 | 29.03.2017 13:13 |
|
to Dfg
А есть ссылочка на утвержденный документ? А то от сайта ФСТЭК можно обещанного 3 года ждать (или 5, ага? :) ) |
|
| Автор: Dfg | 70268 | 29.03.2017 13:49 |
|
вот |
|
| Автор: oko | 70273 | 29.03.2017 19:30 |
|
to Dfg
Thank's a lot! |
|
| Автор: Wild Cat | 70500 | 04.04.2017 17:48 |
|
По изменениям, внесённым в 17 приказ: "Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается." получается что теперь одна и таже организация не может создать систему защиты ГИС и потом аттестовать, т.к. документы по проектированию, внедрению и аттетстаты утверждаются руководителем организации (должностым лицом). Или всё же может при условии что проектированием, внедрением и аттетстатцией ГИС занимаются различные подразделения (и соответсвтвенно должностные лица)?
|
|
| Автор: Писатель-фантаст | 70516 | 04.04.2017 22:26 |
|
По хорошему не могут - ведь тогда теряется весь смысл независимой оценки выполнения требований по безопасности информации.
|
|
| Автор: oko | 70517 | 04.04.2017 22:55 |
|
Что хотел сказать ФСТЭК - как обычно за кадром. Лучше (качественнее) от этой ситуации не станет. Закрутят гайки - появится куча левых фирм с теми же людьми, но под другим юр.лицом. Не закрутят - документы будут подписывать разные сотрудники одной и той же фирмы. Короче, на любую хитрую... найдется свой... как говорится...
|
|
| Автор: Tymrfik | 78976 | 11.10.2017 06:55 |
|
Расскажите, пожалуйста, из приказа ФСТЭК №17 УПД.16 - надо выдвинуть требования для сторонних организаций (их информационных систем). Какие быть ИС, взаимодействующие с нашей ГИС - можем ли мы выдвигать требование, чтобы они аттестовали свои ИС по определенному классу? или кроме 5 требований, что прописаны в УПД.16 мы ничего не имеем права требовать? Может подскажите шаблон такого документа (для требований)?
|
|
| Автор: oko | 78996 | 11.10.2017 20:51 |
|
to Tymrfik
Вы им выдвигаете требования защиты по 17 приказу (всему, а не только УПД) под определенный класс + доп.требования, если это обосновано вашей Моделью угроз в части взаимодействия с ними. Классифицировать их можете самостоятельно, если защищаемая информация ваша. Они могут повысить класс при желании/необходимости. Могут разработать свою Модель угроз и обосновать доп.требования (которые в табл. 17 Приказа оставлены пустыми для данного класса ИС). Теоретически, могут и отсутствие необходимости определенных требований обосновать. Но, запомните, выдвигать им требование обязательной аттестации вы не можете. Если они гос.контора, то это подразумевается само собой, если коммерс - достаточно просто выполнить ваши требования... А вообще, свою систему надо было заранее планировать с учетом других сторон взаимодействия. Единые требования, единая Модель, единый аттестат (по возможности)... |
|
| Автор: WORM, MK | 79006 | 12.10.2017 08:57 |
|
> Но, запомните, выдвигать им требование обязательной аттестации вы не можете.
Выдвинуть требования можно, другое дело, выполнят ли они их. Тут все упрется в то, кто от кого зависит. Если им надо подключиться - пусть выполняют требования, а если вам надо, чтобы они подключились - ваши требования их не волнуют. |
|
| Автор: oko | 79147 | 12.10.2017 13:42 |
|
to WORM
*на правах желания разобраться выскажу свою точку зрения* Требования обязательной аттестации устанавливаются регулятором, а не эксплуатантом, разве нет? Тем более для чужих систем. Вот предъявить требования безопасности - другое дело. И тут не суть важно, кому оно надо по конечной цели (эксплуатанту, чтобы к нему подключались, или подключающейся стороне). Если есть аттестованная ГИС, то требования само собой разумеются и для всех ее "абонентов" (вне зависимости от форм собственности). Другое дело, что это требует от разработчика ГИС внесения изменений в свою документацию и свою систему защиты, если на этапе проектирования и ввода в эксплуатацию "абоненты" не рассматривались... |
|
| Автор: Alex | 79154 | 12.10.2017 17:59 |
|
>предъявить требования безопасности
+1 и контролировать их исполнение |
|
| Автор: WORM, MK | 79155 | 12.10.2017 18:26 |
|
to oko
По-моему, мы с Вами уже обсуждали эту тему, но все же... Регулятором устанавливаются требования обязательной аттестации ГИС. Не всего, что к ней подключено, а только ГИС. В приказе нет требования о том, чтобы все, что подключается к ГИС, аттестовалось. И это вовсе не само собой разумеется. С точки зрения Пр-17 (да и по факту) я являюсь внешним пользователем федеральной ГИС "Госуслуги" (или как она там называется). Я получаю к ней доступ со своего домашнего компа. Т.е. являюсь "абонентом". Вопрос: почему ко мне до сих пор никто не приехал аттестовать мой комп?? |
|
| Автор: oko | 79158 | 12.10.2017 19:16 |
|
to WORM
Потому что вы не гос. и не коммерс., а 17 расчитан на организации :) Если серьезно, то да, обсуждали. И сошлись во мнении, что требования ГИС обязательны для любых ИС гос.контор, в которых циркулирует ИОД. Именно про них говорил о "само собой разумеющейся" аттестации. Про иные конторы сказал ранее, что там обязаловки нет. А с госами все просто: передаете ИОД в другую ГИС? Будьте любезны соблюсти требования безопасности и подтвердить это (аттестацией)... |
|
| Автор: oko | 79159 | 12.10.2017 19:20 |
|
...продолжение
Но вопрос основной был в другом: правомочно ли одной-конторе-владельцу-ГИС требовать обязательной аттестации у других-контор-абонентов? Считаю, что не правомочно - это не их уровень решения. С другой стороны, госы и так вынуждены выполнить и аттестоваться, imho. А коммерсы только выполнить. Если контора-владелец вообще укажет, что выполнять, разумеется... *в сторону* извиняюсь за такой неструктурированный поток мыслей слегка - вторую ночь не сплю. Конец года, блин... |
|
| Автор: WORM, MK | 79160 | 12.10.2017 19:31 |
|
> И сошлись во мнении, что требования ГИС обязательны для любых ИС гос.контор, в которых циркулирует ИОД.
Не помню, чтобы сошлись )) Я как раз не понимаю, во сколько обойдется аттестация практически каждого гос. компьютера (в них практически всегда есть ИОД). На что ссылаться при обосновании финансирования работ по аттестации? На логику и здравый смысл?? Вряд ли финансисты дадут денег... ... По основному вопросу: Правомочно ли вообще чего-то требовать, если это требование нигде не прописано? З.Ы. Вы уж поспите, бросьте на время форум )) |
|
| Автор: WORM, MK | 79161 | 12.10.2017 19:32 |
|
> и контролировать их исполнение
Это если вас пустят контролировать. А если пошлют? |
|
| Автор: Alex | 79162 | 12.10.2017 19:36 |
|
>А если пошлют?
нет ножек - нет и мультиков. значит, этому кому-то не нужна эта информация. ЕМНИП, собственник информации устанавливает правила игры |
|
| Автор: WORM, MK | 79163 | 12.10.2017 19:49 |
|
> нет ножек - нет и мультиков
Я о другом. Им сказали подключиться к нашей ИС, они говорят "Вы должны свою ИС аттестовать, нам надо подключиться". Мы им говорим: надо - подключайтесь, а про аттестацию нигде ничего не написано. Это не нам мультики нужны, а им. |
|
| Автор: oko | 79164 | 12.10.2017 20:46 |
|
to WORM
Сошлись, если память не изменяет. Но не во всем, что, в принципе, нормально :) Кстати, аттестация каждого АРМ и не нужна, даже если на нем ИОД присутствует. Важна технология обработки, места хранения совокупных баз данных, пользователи, каналы и проч. МНИ и СВТ уже вторичны, если глобально к проблеме подходить... Для всего остального есть *зачеркнуто* Master Card */зачеркнуто* аттестация типовых сегментов, ага. В практике был объект over1000 рабочих мест, подключающихся к ГИС. Стоимость проект+внедрение+аттестация "в лоб" выходила за 10кк руб. Пересмотрели задачу, уточнили требования, применили аттестацию "по типизации" и вышли на 1.5к руб. Так что лозунг "каждому АРМ по СЗИ, каждому сегменту ИС по Аттестату" не прошел, да и не нужен в большинстве случаев... <Правомочно ли вообще чего-то требовать, если это требование нигде не прописано?> - правомочно требовать соблюдения мер безопасности. С или без аттестации - тут решает не владелец ИС, а регулятор (он как раз хотел пробить проект "все ИС в гос." = ГИС, да пока не вышло). У владельца требовать наличия Аттестата с каждого абонента прав нет... <Им сказали подключиться к нашей ИС, они говорят> - что-то вы все перевернули :) Схема изначально обсуждалась иная: "К нам подключаются - что делать?" Правильный ответ: составить Модель + выполнить базовые требования 17 Приказа для своей ГИС с учетом таких "подключений". И по выводам сформировать требования, которые разослать всем "подключенцам". Не хотят выполнять? Не подключать. И не важно, кому оно надо в первую голову: владельцу или абоненту. В противном случае, смысл обсуждать вопросы безопасности, если "это все равно никому не надо, а только мешает и не удобно"? *в сторону* по последнему риторическому вопросу злым языкам просьба промолчать - мы тут все (более-менее) знаем, с какой стороны у бутерброда масло, к сожалению. Но работать приходится, никуда не денешься. И да, пойду-таки спать, а то слишком ядовитым становлюсь - каюсь, грешен :) |
|
| Автор: Alex | 79443 | 13.10.2017 12:05 |
|
2 WORM
>Это не нам мультики нужны, а им немного не так: сообщение Tymrfik | 78976 >надо выдвинуть требования для сторонних организаций >Им сказали подключиться к нашей ИС, они говорят "Вы должны свою ИС аттестовать, нам надо подключиться" вне зависимости от необходимости подключения, я бы посмотрел, кто и зачем выдвигает к нашей ИС требований по аттестации. "родственная-дружественная" компания, направление деятельности, форма собственности и т.д. и т.п. ну и ответ в зависимости от дружески поговорить и обменяться мнениями до посыла в контрольно-надзорный орган 2 all >Не хотят выполнять? Не подключать. И не важно, кому оно надо в первую голову: владельцу или абоненту в отрыве от конкретики - интересная проблема. не касаясь госов, фактически, это борьба с работодателем, в которой долг и профессия идут в разрез с интересами бизнеса |
|
| Автор: oko | 79446 | 13.10.2017 13:23 |
|
to Alex
<в отрыве от конкретики - интересная проблема> - эта проблема многих и многих лет (поколений, если расширить область, ага). Старый как мир треугольник "безопасность - эффективность (функциональность) - стоимость". Только, imho, применительно к ГИС, раз уж у нас есть худо-бедно собранная НМД от регуляторов, такого вопроса быть не должно. Во всяком случае, без радикальных отказов по причине "а нам неудобно". Короче, как и везде, решает "путь компромисса". Только чуть-чуть перетянутый в сторону *зачеркнуто* аттестации */зачеркнуто* ЗИ (ИБ), ага... *в сторону* выспался и нашел ошибку в прошлом своем посте. Не 1.5к, а 1.5кк, разумеется. Но всяко меньше первичных затрат... |
|
| Автор: Alex | 79491 | 16.10.2017 11:46 |
|
>Старый как мир треугольник "безопасность - эффективность (функциональность) - стоимость".
я бы конкретизировал - интересы (требования) бизнеса vs. точка зрения ИБ-шника :) >Короче, как и везде, решает "путь компромисса" согласен |
|
| Автор: sekira | 109711 | 15.12.2021 11:13 |
|
Как теперь с сегментами подключемыми к ГИС в свете 77 приказа ФСТЭК?
77 пр. п 33. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичные средства или заменены на аналогичные средства, проводятся дополнительные аттестационные испытания в соответствии с настоящим Порядком. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается. 17 приказ п17.3. Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы... Где грань между приемочными испытаниями и дополнительными аттестационными ... и кто должен делать и те и те. Кто сталкивался с нововедениями? |
|
| Автор: oko | 109715 | 15.12.2021 19:04 |
|
to sekira
Дык, приемочные испытания хоть в ГОСТ 34.603 прописаны, что 17 Приказом и подтверждается. А вот "дополнительные аттестационные" - это новый термин регулятора, который он (наверняка из лучших побуждений, ага) не сподобился объяснить... Пока не сталкивался лично, но, imho, 17 Приказ в данном контексте главнее. Именно поэтому для сложных систем всегда выдавал (и буду вне зависимости от пунктов 77 Приказа) Предписание на эксплуатацию, где явно расписывал, что, как и в каком количестве допускается, а что требует согласования (в текущих реалиях - контрольных испытаний, доп.атт.испытаний или новых аттестационных испытаний). Конечно, все предусмотреть невозможно, но: - так эксплуатант представляет себе хотя бы основные права на шаг вправо-влево (в контексте типовых сегментов - права и порядок их добавления / изменения относительно состояния аттестованной ИС); - УФСТЭК, внесшее подобный объект в реестр, в целом, подтверждает правомочность таких дополнительных уточнений (пусть, согласно 77 Приказу, теперь и может в любой момент "дать заднюю" за счет размазанной по времени экспертизы полученных материалов, ага)... ЗЫ Кстати, приемочные проводит-таки Владелец/Оператор ИС (иными словами, функциональный эксплуатант). Намедни вертел в руках ФГИС, владелец которой выдал явный перечень требований и мер + затребовал акт по результатам испытаний. При этом явно указал, что имеется в виду не аттестат соответствия или иные формы оценки соответствия - достаточно проверить идентичность сегмента, внедрить положенные меры и зафиксировать это актом по соответствующей форме... Всем бы быть такими сознательными - и мир бы стал лучше, НМД чище, а ночи менее бессонными... |
|
| Автор: Анна | 109748 | 09.01.2022 15:48 |
|
Здравствуйте! Являюсь студентом направления "Информационная безопасность" и прошу вас объяснить/помочь следующий момент:
Нужно провести аттестацию объекта информатизации, расположенного в аэропорту. В моем (возможно, неправильном) понимании некий аэропорт будет являться сегментом одной большой ГИС. И вопрос заключается в том, какой масштаб будет иметь ИС данного аэропорта? Если большая ГИС имеет явно федеральный масштаб, будет ли это переносится на сегмент? А если отдельно аттестуем сегмент, масштаб вообще меняется или нет? Прошу вас помочь разобраться бестолковому студенту с кашей в голове:) |
|
| Автор: Денис | 109749 | 09.01.2022 18:40 |
|
to Анна.
согласно 17 приказу ФСТЭК России. То, что Вы называете аттестацией можно провести 2мя способами. 1. Распространение действующего аттестата соответствия ГИС на типовые сегменты, которые должны быть аналогичны ГИСу (акт классификации, модель угроз, проект СЗИ, СрЗИ и тд). В таком случае все в Вашей ИС должно совпадать с ГИСом, в том числе и масштаб. Но такое можно делать, если программа и методики аттестационных испытаний той ГИС позволяют распространять аттестат соответствия. Тогда делается акт соответствия и аттестат не выдается. 2. Аттестация новой ИС и подключение ее к ГИСу (согласно мере УПД.16, как внешняя ИС). В таком случае Вы сами назначаете себе нужный масштаб (скорей всего объектовый), создаете СЗИ, делаете свой пакет ОРД и проводите аттестацию. В таком случае выдается аттестат соответствия (более часто встречаемое пока). Скорей всего Вам нужно идти по 2 этапу. Тогда нет, совпадать не должен. Но Вы должны корректно оценить масштаб. Если аттестуете АРМ(ы), расположенные в одном здании, то это объектовый масштаб. А если верхушка аэропорта сидит в другом городе и имеет прямую связь с аэропортом (администраторы безопасности информации и тд), то тут уже можно о другом масштабе задуматься. |
|
| Автор: Денис | 109750 | 09.01.2022 18:43 |
|
to Анна.
Добавлю. Данное заключение сделано на основе личного опыта и разговоров со ФСТЭК России по этому поводу. Многие владельцы ГИС спорить насчет этого любят. |
|
| Автор: Анна | 109751 | 09.01.2022 19:13 |
|
to Денис.
Благодарю Вас за подробный ответ! |
|
| Автор: oko | 109753 | 11.01.2022 15:08 |
|
*в сторону*
Модуль юриспруденции и модуль жизненного опыта в один голос подсказывают, что отнесение какой-либо системы какого-либо аэропорта к ГИС или сегменту ГИС - крайне маловероятное решение. Даже в случае ИС/АС какого-либо ФОИВ/ОИВ, размещающихся на территории аэропорта, ага... |
|
| Автор: Антон К. | 109777 | 28.01.2022 14:15 |
|
Поделитесь положительным опытом)) Имеется ЦОД, в ЦОДе много ГИС (большинство аттестованы). Если переводить все ГИС в один домен, нужно ли будет проводить переаттестацию или доп. аттестацию?
|
|
| Автор: 1 | 109779 | 31.01.2022 18:20 |
|
п.33 2-й абзац 77 приказа ФСТЭК - если под него попадаете, то да - переаттестация.
Вы аттестуйте ЦОД отдельно, а потом ГИСы отдельно. Так меньше хлопот - но не точно! |
|
| Автор: Павел | 109899 | 06.04.2022 11:04 |
|
Добрый день! Подскажите, пожалуйста, правильно ли я понимаю, что аттестация сегмента ГИС проходит по 77 приказу, и Модель угроз с ТЗ на этот сегмент согласуются с ФСТЭК?
|
|
| Автор: СМ | 109900 | 06.04.2022 11:55 |
|
To Павел
Правильно лучше понимать так: Аттестация ГИС проводится на соответствие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17, и в порядке, утвержденным приказом ФСТЭК России от 29 апреля 2021 года № 77. В отношении сегмента ГИС могут проводиться только аттестационные испытания. Условия данных испытаний определены пунктом 17.3 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17. Согласование модели УБИ ГИС и технического задания на создание ГИС с ФСТЭК России предусмотрено пунктом 3 постановления Правительства РФ от 6 июля 2015 года № 676. Формально обязанности у ФСТЭК России по согласованию Модели УБИ сегмента ГИС и технического задания на создание сегмента ГИС нет. Поэтому, скорее всего, документы вернут без рассмотрения. |
|
| Автор: Павел | 109904 | 08.04.2022 08:41 |
|
СМ, спасибо!
|
|
| Автор: Татьяна | 110178 | 07.07.2022 07:51 |
|
Здравствуйте. Подскажите, хотим аттестовать ИС (Сервера и 2 АРМ) как ГИС, типовой сегмент. В какие сроки на все остальные рабочие места нужно распространить аттестат? Это как-то регулировано?
|
|
| Автор: CM | 110179 | 07.07.2022 08:35 |
|
to Татьяна:
Регулировано пунктом 17.3 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17. Плюс в конце этого пунка есть отсылка на аттестационные документы (Программа и методика АИ, заключение и аттестат соответствия), которые также должны отражать особенности аттестации ГИС на основе результатов АИ выделенного набора сегментов. |
|
| Автор: Татьяна | 110180 | 07.07.2022 08:58 |
|
СМ, т.е. в программе и методике АИ должен быть прописан срок? А если не прописать?
Есть ГИС, в которой часть АРМ аттестовано, часть нет. Чем это грозит? Просто говорить регуляторам, что идет процесс распространения аттестата? Как это долго может длиться? |
|
| Автор: CM | 110181 | 07.07.2022 09:24 |
|
to Татьяна:
Понятие "процесс распространения аттестата" не корректно. Аттестат соответствия выдается на всю ГИС и действует на весь срок эксплуатации этой ГИС (см. пункт 17.4 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17). Т.е. срок действия аттестата один и начало его действия указано в самом аттестате. У вводимых после аттестации сегментов ГИС есть только срок - это срок проведения приемочных испытаний, где подтверждается их соответствие ранее аттестованным сегментам. Сроки таких видов испытаний, как правило, определяются локальными нормативными актами (приказы, распоряжения) вместе с назначением комиссий проведения испытаний. Если регулятор запросил у Вас какие-то документы по сегментам ГИС, планируемых к вводу после АИ, то можете указать точную формулировку запроса? |
|
| Автор: Татьяна | 110182 | 07.07.2022 13:33 |
|
СМ, аттестация только планируется. Регулятор ничего не запрашивал.
Т.е. я как владелец ГИС выставляю требования для подключения к ГИС и сроки, в какие эти требования должны быть выполнены. У меня вопрос в том, будут ли у регулятора вопросы к тому, что в аттестованной ИС работают люди на ПК, не соответствующие требованиям. |
|
| Автор: CM | 110183 | 07.07.2022 14:45 |
|
to Татьяна:
Если аттестация только планируется, а в ГИС была разрешена обработка информации ограниченного доступа, то по этому поводу со стороны регуляторов должны быть "неприятные" вопросы, т.к. в этом случае будет нарушение требований части 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ и раздела III Требований, утвержденных постановлением Правительства РФ от 06.07.2015 № 676. Вы, как владелец ГИС, должны сначала определить "границы" ГИС (обособить ее от других ГИС) и сформировать требования к защите информации (акт классификации, модель угроз, техническое задание), включая определение сегментного состава и порядка их ввода в действие. Потом разработать техническую документацию (тех проект, рабочая документация), включая Тех паспорт, где целесообразно отразить все сегменты которые будут входить в ГИС. Затем провести внедрение средств защиты и провести испытания (предварительные, опытную эксплуатацию, приемочные) сегментов ГИС, реализующих полную технологию обработки информации. Только после этого выходить на аттестацию ГИС и аттестационные испытания данного набота сегментов ГИС. В случае положительных результатов аттестационных испытаний сегментов ГИС, реализующих полную технологию обработки информации, на всю ГИС выдается аттестат соответствия. Аттестационные испытания этих сегментов ГИС и выдачу аттестата соответствия может проводить только лицензиат ФСТЭКа. Наличие аттестата соответствие ГИС дает основание для ввода их в действие (эксплуатацию) аттестованных сегментов, т.е. право обрабатывать в них информацию ограниченного доступа. Как правило, для этого оформляют комиссионный Акт ввода в действие и издается приказ (распоряжение). "Новые" сегменты ГИС вводятся Вами самостоятельно после проведения приемочных испытаний. Где, кроме проверки выполнения требований Тех задания, (!) дополнительно оценивается их соответствие сегменту, в отношении которого были проведены аттестационные испытания (критерии такой оценки соответствия см. пункт 17.4 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17). В технической и приемочной документации "новые" сегменты должны быть отражены, как часть ГИСа. Иначе как определить, что это сегмент аттестованной ГИС, а не какая-то отдельная ГИС?! Сроки проведения приемки "новых" сегментов аттестованной ГИС определяете самостоятельно. Как правило, зависит от их готовности к испытаниям. Приемочные испытания с оценкой соответствия вновь вводимого сегмента аттестованному проводит Ваша комиссия. Привлекать лицензиата не обязательно (это не аттестационные испытания, а приемочные). Разрешать обрабатывать информацию ограниченного доступа во вновь вводимых сегментах можно только после положительных результатов приемки с подтверждением их соответствия аттестованному сегменту. У регулятора, скорее всего, возникнут вопросы, если в "новых" сегментах была разрешена обработка информации без наличия оснований, т.е. положительных результатов приемки с оценкой соответствия. |
|
| Автор: СМ | 110184 | 07.07.2022 15:01 |
|
to Татьяна:
В дополнение к сказанному ранее: если есть потребность где-то отразить мероприятия по защите вновь вводимых сегментов ГИС со сроками выполнения этих мероприятий, то для этого может использовать планирование мероприятий по защите информации в ГИС, предусмотренное пунктами 18 и 18.1 Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17. |
|
| Автор: Татьяна | 110185 | 08.07.2022 07:50 |
|
СМ, спасибо
|
|
| Автор: Анна | 110661 | 08.02.2023 16:29 |
|
Добрый день! Подскажите, пожалуйста, новичку в данном вопросе... Мы орган местного самоуправления, который имеет доступ/подключение к огромному количеству ГИСов, например, Закупки, ГАСУправление, ЕИАС и т.д.
Как мы должны рассматривать рабочие места пользователей - как ИС, ИС ПДн или все-таки сегмент ГИС. Аттестовывать или нет? |
|
| Автор: oko | 110663 | 08.02.2023 19:44 |
|
to Анна
ИСПДн и ГИС - суть разные вещи, поскольку предусматривают обработку информации ограниченного доступа, содержащую суть разные сведения. Однако, могут быть случаи, когда ОИ = ИСПДн + ГИС (регулятор в 77 Приказе их явно предусмотрел, ага), могут быть ОИ = ИСПДн и другой ОИ = ГИС... В вашей ситуации бежать поперек паровоза не имеет смысла. Корректнее будет задать оный вопрос по адресу каждой ГИС, с которой у вас обеспечено какое-либо взаимодействие. И действовать согласно полученному ответу... Может статься, что какие-то ГИС ваши "рабочие места" уже предусмотрели как "сегмент ГИС", аттестовали сами и выставили вам требования безопасности, которые вы должны соблюдать при взаимодействии. А какие-то забили на этот процесс и тупо не подают вида о том, что с ними взаимодействуют сторонние организации/органы, де юре и де факто не покрытые по вопросам безопасности... В любом случае, мяч по определению требований (нарушителей, угроз, etc) к ГИС и к означенному взаимодействию всегда на стороне Владельца ГИС и Оператора ГИС, а не на вашей стороне (если только вас таким Оператором официально не признали, хотя об этом вы бы уже были в курсе). Но стоит помнить, что в случае, когда Владелец/Оператор не сподобились определить требования безопасности при взаимодействии с другими организациями/органами/системами, с этих сторон также ответственность за обеспечение безопасности не снимается. Особенно в случае явного нарушения, утечки и т.п. То ли дело, что официальных прецедентов мало и практика по ответственности кривая... |
|
| Автор: Анна | 110667 | 09.02.2023 11:56 |
|
to oko
Спасибо за ответ!) Вопрос возник ввиду ожидаемой проверки, в ходе которой у нас запрашивают следующее: "Наличие документов на сегменты ГИС (технический паспорт на систему, модель угроз и т.д.)". Если я верно трактую вопрос - наши рабочие места в той же ГИС ЖКХ можно рассматривать как сегмент ГИС? Если да, то у нас все эти документы должны быть? Или если нет от Владельца/Оператор системы требований, то мы должны рассматривать наши подключения как отдельную ИС и разрабатывать эти же документы, без учета ядра ГИСа? |
|
| Автор: oko | 110668 | 09.02.2023 20:37 |
|
to Анна
Еще раз: обращайтесь к Владельцу/Оператору каждой ГИС, с которой взаимодействуете, и задавайте им вопрос про сегментирование и/или регламенты и требования безопасности. Лучше них ни один аноним с форума не ответит, ага... И, если речь идет о подключении к федеральным ГИС, то, насколько знаю, из них не осталось ни одной, не покрытой хотя бы формальными требования и аттестационными испытаниями. Т.е. комплект требований и мер защиты будет при любом раскладе (то ли дело, что может быть несуразным, но вас это как абонента не волнует - если можно выполнить, то выполняйте и не ищите истины)... Если хотите перестраховаться, то, конечно, можете свои абонентские системы считать отдельной ИС-с-натянутыми-требованиями-ГИС (чтобы не носить свою систему на согласование во ФСТЭК и ФСБ в части ТЗ и Модели). Только как в такой ситуации определить корректный класс? К3? А вдруг на стороне нужной ГИС предусмотрено К2? Только базовые меры защиты? А вдруг на стороне нужной ГИС есть расширенный набор мер или часть мер вообще не нужна (обоснована)? |
|
| Автор: Toka | 111103 | 11.09.2023 17:04 |
|
А может ли сторонняя организация при подключении к ГИС (в качестве пользовательского сегмента) акт соответствия пользовательского сегмента требованиям безопасности ГИС утвердить и подписать составом комиссии из числа своих работников?
|
|
Просмотров темы: 26592
Copyright © 2004-2019, ООО "ГРОТЕК"
