Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 >

Автор: Alex | 79154 12.10.2017 17:59
>предъявить требования безопасности

+1 и контролировать их исполнение

Автор: WORM, MK | 79155 12.10.2017 18:26
to oko
По-моему, мы с Вами уже обсуждали эту тему, но все же...
Регулятором устанавливаются требования обязательной аттестации ГИС. Не всего, что к ней подключено, а только ГИС. В приказе нет требования о том, чтобы все, что подключается к ГИС, аттестовалось. И это вовсе не само собой разумеется.

С точки зрения Пр-17 (да и по факту) я являюсь внешним пользователем федеральной ГИС "Госуслуги" (или как она там называется). Я получаю к ней доступ со своего домашнего компа. Т.е. являюсь "абонентом".
Вопрос: почему ко мне до сих пор никто не приехал аттестовать мой комп??

Автор: oko | 79158 12.10.2017 19:16
to WORM
Потому что вы не гос. и не коммерс., а 17 расчитан на организации :)
Если серьезно, то да, обсуждали. И сошлись во мнении, что требования ГИС обязательны для любых ИС гос.контор, в которых циркулирует ИОД. Именно про них говорил о "само собой разумеющейся" аттестации. Про иные конторы сказал ранее, что там обязаловки нет. А с госами все просто: передаете ИОД в другую ГИС? Будьте любезны соблюсти требования безопасности и подтвердить это (аттестацией)...

Автор: oko | 79159 12.10.2017 19:20
...продолжение
Но вопрос основной был в другом: правомочно ли одной-конторе-владельцу-ГИС требовать обязательной аттестации у других-контор-абонентов? Считаю, что не правомочно - это не их уровень решения. С другой стороны, госы и так вынуждены выполнить и аттестоваться, imho. А коммерсы только выполнить. Если контора-владелец вообще укажет, что выполнять, разумеется...
*в сторону* извиняюсь за такой неструктурированный поток мыслей слегка - вторую ночь не сплю. Конец года, блин...

Автор: WORM, MK | 79160 12.10.2017 19:31
> И сошлись во мнении, что требования ГИС обязательны для любых ИС гос.контор, в которых циркулирует ИОД.

Не помню, чтобы сошлись ))
Я как раз не понимаю, во сколько обойдется аттестация практически каждого гос. компьютера (в них практически всегда есть ИОД). На что ссылаться при обосновании финансирования работ по аттестации? На логику и здравый смысл?? Вряд ли финансисты дадут денег...
...
По основному вопросу:
Правомочно ли вообще чего-то требовать, если это требование нигде не прописано?

З.Ы. Вы уж поспите, бросьте на время форум ))

Автор: WORM, MK | 79161 12.10.2017 19:32
> и контролировать их исполнение

Это если вас пустят контролировать. А если пошлют?

Автор: Alex | 79162 12.10.2017 19:36
>А если пошлют?

нет ножек - нет и мультиков. значит, этому кому-то не нужна эта информация. ЕМНИП, собственник информации устанавливает правила игры

Автор: WORM, MK | 79163 12.10.2017 19:49
> нет ножек - нет и мультиков

Я о другом. Им сказали подключиться к нашей ИС, они говорят "Вы должны свою ИС аттестовать, нам надо подключиться". Мы им говорим: надо - подключайтесь, а про аттестацию нигде ничего не написано.
Это не нам мультики нужны, а им.

Автор: oko | 79164 12.10.2017 20:46
to WORM
Сошлись, если память не изменяет. Но не во всем, что, в принципе, нормально :)
Кстати, аттестация каждого АРМ и не нужна, даже если на нем ИОД присутствует. Важна технология обработки, места хранения совокупных баз данных, пользователи, каналы и проч. МНИ и СВТ уже вторичны, если глобально к проблеме подходить...
Для всего остального есть *зачеркнуто* Master Card */зачеркнуто* аттестация типовых сегментов, ага. В практике был объект over1000 рабочих мест, подключающихся к ГИС. Стоимость проект+внедрение+аттестация "в лоб" выходила за 10кк руб. Пересмотрели задачу, уточнили требования, применили аттестацию "по типизации" и вышли на 1.5к руб. Так что лозунг "каждому АРМ по СЗИ, каждому сегменту ИС по Аттестату" не прошел, да и не нужен в большинстве случаев...

<Правомочно ли вообще чего-то требовать, если это требование нигде не прописано?> - правомочно требовать соблюдения мер безопасности. С или без аттестации - тут решает не владелец ИС, а регулятор (он как раз хотел пробить проект "все ИС в гос." = ГИС, да пока не вышло). У владельца требовать наличия Аттестата с каждого абонента прав нет...

<Им сказали подключиться к нашей ИС, они говорят> - что-то вы все перевернули :) Схема изначально обсуждалась иная: "К нам подключаются - что делать?" Правильный ответ: составить Модель + выполнить базовые требования 17 Приказа для своей ГИС с учетом таких "подключений". И по выводам сформировать требования, которые разослать всем "подключенцам". Не хотят выполнять? Не подключать. И не важно, кому оно надо в первую голову: владельцу или абоненту. В противном случае, смысл обсуждать вопросы безопасности, если "это все равно никому не надо, а только мешает и не удобно"?

*в сторону* по последнему риторическому вопросу злым языкам просьба промолчать - мы тут все (более-менее) знаем, с какой стороны у бутерброда масло, к сожалению. Но работать приходится, никуда не денешься. И да, пойду-таки спать, а то слишком ядовитым становлюсь - каюсь, грешен :)

Автор: Alex | 79443 13.10.2017 12:05
2 WORM

>Это не нам мультики нужны, а им

немного не так:

сообщение Tymrfik | 78976
>надо выдвинуть требования для сторонних организаций

>Им сказали подключиться к нашей ИС, они говорят "Вы должны свою ИС аттестовать, нам надо подключиться"

вне зависимости от необходимости подключения, я бы посмотрел, кто и зачем выдвигает к нашей ИС требований по аттестации. "родственная-дружественная" компания, направление деятельности, форма собственности и т.д. и т.п. ну и ответ в зависимости от дружески поговорить и обменяться мнениями до посыла в контрольно-надзорный орган

2 all
>Не хотят выполнять? Не подключать. И не важно, кому оно надо в первую голову: владельцу или абоненту

в отрыве от конкретики - интересная проблема. не касаясь госов, фактически, это борьба с работодателем, в которой долг и профессия идут в разрез с интересами бизнеса

Страницы: < 1 2 3 4 5 6 >

Просмотров темы: 26361

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*