Автор: Alex | 79154 | 12.10.2017 17:59 |
>предъявить требования безопасности
+1 и контролировать их исполнение |
Автор: WORM, MK | 79155 | 12.10.2017 18:26 |
to oko
По-моему, мы с Вами уже обсуждали эту тему, но все же... Регулятором устанавливаются требования обязательной аттестации ГИС. Не всего, что к ней подключено, а только ГИС. В приказе нет требования о том, чтобы все, что подключается к ГИС, аттестовалось. И это вовсе не само собой разумеется. С точки зрения Пр-17 (да и по факту) я являюсь внешним пользователем федеральной ГИС "Госуслуги" (или как она там называется). Я получаю к ней доступ со своего домашнего компа. Т.е. являюсь "абонентом". Вопрос: почему ко мне до сих пор никто не приехал аттестовать мой комп?? |
Автор: oko | 79158 | 12.10.2017 19:16 |
to WORM
Потому что вы не гос. и не коммерс., а 17 расчитан на организации :) Если серьезно, то да, обсуждали. И сошлись во мнении, что требования ГИС обязательны для любых ИС гос.контор, в которых циркулирует ИОД. Именно про них говорил о "само собой разумеющейся" аттестации. Про иные конторы сказал ранее, что там обязаловки нет. А с госами все просто: передаете ИОД в другую ГИС? Будьте любезны соблюсти требования безопасности и подтвердить это (аттестацией)... |
Автор: oko | 79159 | 12.10.2017 19:20 |
...продолжение
Но вопрос основной был в другом: правомочно ли одной-конторе-владельцу-ГИС требовать обязательной аттестации у других-контор-абонентов? Считаю, что не правомочно - это не их уровень решения. С другой стороны, госы и так вынуждены выполнить и аттестоваться, imho. А коммерсы только выполнить. Если контора-владелец вообще укажет, что выполнять, разумеется... *в сторону* извиняюсь за такой неструктурированный поток мыслей слегка - вторую ночь не сплю. Конец года, блин... |
Автор: WORM, MK | 79160 | 12.10.2017 19:31 |
> И сошлись во мнении, что требования ГИС обязательны для любых ИС гос.контор, в которых циркулирует ИОД.
Не помню, чтобы сошлись )) Я как раз не понимаю, во сколько обойдется аттестация практически каждого гос. компьютера (в них практически всегда есть ИОД). На что ссылаться при обосновании финансирования работ по аттестации? На логику и здравый смысл?? Вряд ли финансисты дадут денег... ... По основному вопросу: Правомочно ли вообще чего-то требовать, если это требование нигде не прописано? З.Ы. Вы уж поспите, бросьте на время форум )) |
Автор: WORM, MK | 79161 | 12.10.2017 19:32 |
> и контролировать их исполнение
Это если вас пустят контролировать. А если пошлют? |
Автор: Alex | 79162 | 12.10.2017 19:36 |
>А если пошлют?
нет ножек - нет и мультиков. значит, этому кому-то не нужна эта информация. ЕМНИП, собственник информации устанавливает правила игры |
Автор: WORM, MK | 79163 | 12.10.2017 19:49 |
> нет ножек - нет и мультиков
Я о другом. Им сказали подключиться к нашей ИС, они говорят "Вы должны свою ИС аттестовать, нам надо подключиться". Мы им говорим: надо - подключайтесь, а про аттестацию нигде ничего не написано. Это не нам мультики нужны, а им. |
Автор: oko | 79164 | 12.10.2017 20:46 |
to WORM
Сошлись, если память не изменяет. Но не во всем, что, в принципе, нормально :) Кстати, аттестация каждого АРМ и не нужна, даже если на нем ИОД присутствует. Важна технология обработки, места хранения совокупных баз данных, пользователи, каналы и проч. МНИ и СВТ уже вторичны, если глобально к проблеме подходить... Для всего остального есть *зачеркнуто* Master Card */зачеркнуто* аттестация типовых сегментов, ага. В практике был объект over1000 рабочих мест, подключающихся к ГИС. Стоимость проект+внедрение+аттестация "в лоб" выходила за 10кк руб. Пересмотрели задачу, уточнили требования, применили аттестацию "по типизации" и вышли на 1.5к руб. Так что лозунг "каждому АРМ по СЗИ, каждому сегменту ИС по Аттестату" не прошел, да и не нужен в большинстве случаев... <Правомочно ли вообще чего-то требовать, если это требование нигде не прописано?> - правомочно требовать соблюдения мер безопасности. С или без аттестации - тут решает не владелец ИС, а регулятор (он как раз хотел пробить проект "все ИС в гос." = ГИС, да пока не вышло). У владельца требовать наличия Аттестата с каждого абонента прав нет... <Им сказали подключиться к нашей ИС, они говорят> - что-то вы все перевернули :) Схема изначально обсуждалась иная: "К нам подключаются - что делать?" Правильный ответ: составить Модель + выполнить базовые требования 17 Приказа для своей ГИС с учетом таких "подключений". И по выводам сформировать требования, которые разослать всем "подключенцам". Не хотят выполнять? Не подключать. И не важно, кому оно надо в первую голову: владельцу или абоненту. В противном случае, смысл обсуждать вопросы безопасности, если "это все равно никому не надо, а только мешает и не удобно"? *в сторону* по последнему риторическому вопросу злым языкам просьба промолчать - мы тут все (более-менее) знаем, с какой стороны у бутерброда масло, к сожалению. Но работать приходится, никуда не денешься. И да, пойду-таки спать, а то слишком ядовитым становлюсь - каюсь, грешен :) |
Автор: Alex | 79443 | 13.10.2017 12:05 |
2 WORM
>Это не нам мультики нужны, а им немного не так: сообщение Tymrfik | 78976 >надо выдвинуть требования для сторонних организаций >Им сказали подключиться к нашей ИС, они говорят "Вы должны свою ИС аттестовать, нам надо подключиться" вне зависимости от необходимости подключения, я бы посмотрел, кто и зачем выдвигает к нашей ИС требований по аттестации. "родственная-дружественная" компания, направление деятельности, форма собственности и т.д. и т.п. ну и ответ в зависимости от дружески поговорить и обменяться мнениями до посыла в контрольно-надзорный орган 2 all >Не хотят выполнять? Не подключать. И не важно, кому оно надо в первую голову: владельцу или абоненту в отрыве от конкретики - интересная проблема. не касаясь госов, фактически, это борьба с работодателем, в которой долг и профессия идут в разрез с интересами бизнеса |
Просмотров темы: 26361