Необходимость аттестации - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=15012&from=0

К списку тем | Добавить сообщение


Автор: Сергей, ЦЗН | 77662 11.09.2017 12:09
Добрый день!
Коллеги помогите новичку в сфере инф. безопасности. Работаю в центре занятости. Сейчас зашла проверка ФСБ. Требуют проводить аттестацию технических средств.
Должны ли мы проводить такую аттестацию. Если да то какой нормативный акт обязывает нас это делать?
Может ли это проверять ФСБ или это должен делать ФСТЭК?

Автор: Влад | 77685 11.09.2017 15:33
Что в понимании ФСБ означает аттестация технических средств, Вы уточняли?

Могу ошибаться, но напишу, что думаю, коллеги по отрасли ИБ, надеюсь меня поправят. Я так понимаю, в ЦЗН, в какой-нибудь информационной системе (ИС), ведётся обработка персональных данных (ПДн), т.е. речь уже, как минимум, об ИСПДн или о государственной ИС (ГИС).

В случае ГИС, согласно Приказа №17 ФСТЭК, требуется аттестация информационной системы по требованиям защиты информации. ФСБ может привлечь ФСТЭК к проверке.

Автор: oko | 77693 11.09.2017 22:57
*в сторону* ЦЗН это модно сейчас (особенно, если я угадал регион, ага). Только глупо - Минтруд не сам заключает единый контракт на разработку типовых систем защиты и последующей их аттестации (что было бы быстрее, правильнее и дешевле). А взваливает на плечи конечных Центров, где, извиняюсь, о требованиях ФСТЭК/ФСБ и вообще знают лишь единицы (и предпочитают молчать, ага). Но это все лирика...

to Сергей
Обратитесь в Минтруд по своей области/краю/т.д. - они в курсе и смогут бОльшую часть пояснить (что, зачем и из каких средств). Согласен с тов. Влад - речь идет о защите и дальнейшей аттестации ваших информационных систем, в которых обрабатываются перс.данные граждан (и, возможно, ваших сотрудников - инфосистемы отдела кадров, бухгалтерии и т.п.). Причем скорее всего как "гос. инфосистемы" определенного класса защищенности (Приказ 17 ФСТЭК России, ага). А дальше... правильнее всего добиться из Минтруда "Общей модели угроз и действий нарушителей", общих Требований по безопасности информации, а также шаблона Технического задания. С этими документами можно будет и самостоятельно начать думать над защитой и разработкой внутреннего комплекта организационно-распорядительной документации, и выставляться на конкурс, чтобы остальные (или все) работы сделали соответствующие лицензиаты ФСТЭК/ФСБ России...

Просмотров темы: 3143


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100