Аппаратная часть - Форум по вопросам информационной безопасности

"...связанных с такой продукцией, устанавливается Правительством Российской Федерации."

Где для ПДн или ИСПДн?

Где написано что при аттестации ИСПДн я обязан это делать в соответсвии с ГОСТами по аттестации? И готовить документацию на ИСПДн в соответсвии с этими ГОСТами?

sekira | 76562
ПП РФ 1567 Положение о стандартизации в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией.

Где написано что при аттестации ИСПДн я обязан это делать в соответсвии с ГОСТами по аттестации?
Это написано п4 раздел 12.

"И готовить документацию на ИСПДн в соответсвии с этими ГОСТами?"
А это нет.

*в сторону* Про аттестацию ИСПДн вообще нигде не написано (кроме инфосообщения ФСТЭК с пометкой "может быть"). Впрочем, и не запрещено...

А разве в ГОСТ по аттестации не указано обязательное предоставление ТехПаспорта владельцем ОИ/АС/ИС? Форму ТехПаспорта, конечно, не устанавливают (на то есть СТР и СТР-К), но требование наличия, если мне не изменяет склероз, было...

Давайте разделять требования к объекту и требования к аттестации объекта. Требования к ИСПДн в ФЗ, ППр и приказе 21 + доп ведомственные и организационные. В ГОСТах по аттестации требования к аттестации не к СЗИПДн в ИСПДн (хотя по факту логически выскальзывают и требования). То есть если вы собрались аттестовывать ИСПДн то получаете дополнительно требования (например иметь Тех.паспорт и т.д там много чего не буду цитировать) только потому что собрались выполнить необязательное требование?

р 12 п.2 посмотрите б) "объект стандартизации" - продукция, процессы, связанные с такой продукцией, терминология, условные обозначения, исследования (испытания) и измерения, методы испытаний, маркировка, процедуры оценки соответствия продукции;

где тут требования к СЗИПДн в ИСПДн?
Для ГОСТов объект стандартизации - не требования к СЗИПДн, а процесс необязательной аттестации ИСПДн если он ведется. А так конечно все тонкости и конкретика обговариваются в Программе и методиках испытаний.

2 oko
> Про аттестацию ИСПДн вообще нигде не написано

ТС идёт в правильном направлении, систематизация знаний ещё никого не испортила.
полагаю, стоит обратить внимание на ст. 24 федерального закона от 27.12.2002 N 184-ФЗ (ред. от 29.07.2017) "О техническом регулировании"

А где то написано в требованиях к СЗИПДн что для ИСПДн эта статья работает?

sekira, я написал только, что если ТС решил систематизировать документы по ПДн, ему поможет указанная статья.
флейм по поводу необходимости использования ГОСТ при оформлении, проведения оценки соответствия установленным порядком и пр. разводить не вижу смысла

to Alex
*в сторону* еще 5 копеек для полноты копилки, ага? :)
Primo, вопрос топикстартера состоял вообще в другом (не про оценку соответствия и порядок аттестации - это уже косвенный флуд, который мы тут коллективно развили)...
Secundo, про оценку соответствия только ленивый не нагуглит ФЗ-184...
Tertio, мой пост про "отсутствие необходимости в аттестации" предназначался тов. sekira. У нас такая *зачеркнуто* традиция */зачеркнуто* мода (допускаю, что в одностороннем порядке, но я уже давно правила игры принял, ага) - сыпать друг на друга риторическими вопросами и аналогичными ответами...

"сыпать друг на друга риторическими вопросами и аналогичными ответами... "
а вдруг мы чего то не знаем и нас поправят :))