Автор: Дмитрий | 59383 | 28.10.2015 13:20 |
Имеется учреждение здравоохранения. Оно является частью ГИС "Региональный фрагмент единой государственной информационной системы в сфере здравоохранения"
Пункт 17.3 приказа ФСТЭК №17 гласит: «Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации. В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания. Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации. Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы. В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации. Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.» В связи с этим хочу уточнить пару моментов: 1. Если ГИС имеет аттестацию, то, исходя из вышеуказанного, сегменты (т.е. в том числе учреждения здравоохранения) должны быть так же аттестованы (с сопутствующим пакетом документации). Или по крайней мере один типовой сегмент для дальнейшего унифицированного внедрения во все учреждения здравоохранения, имеющие отношение с ГИС. Правильный ли ход мыслей? 2. Распространяется ли требования 17 приказа на другие ИСПДн находящиеся в учреждении здравоохранения («Кадры», «Бухгалтерия»)? Или они относятся к 21 приказу? Спасибо. |
Автор: Андрей Мозговой | 59385 | 28.10.2015 15:44 |
По второму вопросу:
Согласно п.3 и п.6 Приказа, его требования распространяются на ГИС и МИС и могут применяться в других ИС по решению обладателя. информации. Кадры и бухгалтерию теоретически тоже можно отнести к МИС, хотя и с натяжкой - тогда руководствуйтесь 17 Приказом. Если это у вас ИСПДн - то 21 Приказом, но при желании можете применять 17. Есть нюанс: выполнение требований 17 Приказа хотя и освобождает от необходимости выполнения требований 21го (при условии соответствия непревышения УЗ ПДн класса ГИС, п.27), но если у Вас обрабатываются ПДн - требования остальных документов в области защиты ПДн выполнять все равно придется (ПП1119, Приказ ФСБ 378 и т.д.). По первому вопросу: Если Ваша ИС будет являться сегментом УЖЕ аттестованной ГИС, то следует читать аттестационную документацию ГИС (так как "условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия", и если при аттестации возможность распространения аттестата на сегменты не предусмотрели - то автоматически ничего не распространится до следующей аттестации ГИС). Если ГИС еще не аттестована - то при аттестации следует определить перечень сегментов (реальных и потенциальных), сгруппировать их по "типовости" (п.17.3 Приказа), при аттестации провести испытания на хотя бы 1 из сегментов каждого типа (в совокупности должен полностью охватываться техпроцесс обработки информации в ГИС) и разработать порядок распространениея аттестата на сегменты, соответствующие "типовым", прописав его в том числе в программе и аттестате. После чего приводим сегмент в соответствие с проверенным при аттестации, подтверждаем это при приемке сегмента и пишем акт распространения аттестата №__ на сегмент такой-то. |
Автор: Дмитрий | 59397 | 29.10.2015 12:31 |
Андрей Мозговой, благодарю за развернутый ответ.
Согласно п 17.5 ГИС вводится в эксплуатацию только при наличии аттестата соответствия. Сама ГИС "РЕГИЗ" была введена в эксплуатацию в 2011. Соответственно она уже прошла аттестацию. В наше учреждение здравоохранения недавно приезжали специалисты и проводили анализ контроля защищенности конфиденциальной информации от НСД и ее модификации. Были выданы отчеты с результатами и рекомендациями по устранению уязвимостей. Но это же не является аттестацией. В связи с этим вопрос - может ли ГИС получить аттестат соответствия без проведения аттестации ее сегментов? |
Автор: Андрей Мозговой | 59398 | 29.10.2015 13:28 |
Здесь вопрос в определении границы ГИС.
Если рассматривать систему как совокупность "ядра" (ЦОД, сервер с БД, сервер с СПО и т.д.) и набора "клиентов" (Клиентские АРМ, ЛВС, и т.д., разбросанные по территории), то есть варианты: 1. ГИС = только "ядро". В этом случае при аттестации проверяется только оно и в аттестат соответствия, естественно, включается только оно. В этом случае "клиенты" представляют собой отдельные ГИС/МИС и должны иметь отдельные аттестаты, которые и будут необходимым условием подключения к "большой" ГИС (точнее, это будет взаимодействие отдельных аттестованных объектов информатизации). Соответственно, и аттестационные испытания на клиентских ГИС/МИС будут проводиться отдельно, возможно - разными организациями, с разными подходами и т.д. С моей субъективной точки зрения такой подход не является рациональным, кроме случая, когда Оператору "большой" ГИС нет особого дела до организаций, которые к ней должны подключаться (проблемы индейцев шерифа не волнуют). 2. ГИС = совокупность "ядра" и заранее определенного количества "клиентов", что фиксируется сразу, при этом при аттестации зачастую игнорируется возможность "сегментного" подхода, проводятся испытания на всех объектах, что и фиксируется в аттестационной документации. При этом добавление новых клиентов возможно либо как отдельных ГИС/МИС (как в п.1), либо при "доаттестации" ГИС организацией, выдавшей аттестат ранее, по договоренности. Подход дорогой, применяется в основном либо для очень статичных систем, либо для очень уж разношерстных, где проблематично выделить типовые сегменты. Ну, еще для систем, где актуален ПЭМИН и иже с ним, или если за ИБ у оператора "большой" ГИС отвечает специалист "старой закалки", который привык ориентироваться на подходы к защите ГТ. 3. ГИС = совокупность "ядра" и набора типовых клиентов, в совокупности реализующих полных ТПОИ. Здесь при аттестации испытания проводятся на ограниченном количестве сегментов + пишутся требования по распространению аттестата на сегменты, соответствующие типовым. В идеале - оперативно проводятся мероприятия по такому распространению для максимального количества таких клиентов, так как иначе до этой процедуры клиенты не смогут подключиться к "большой" ГИС (а в реальности - все равно работают в ней, что является нарушением). Последующие клиенты либо аттестуют свои ГИС/МИС как отдельные ОИ, либо приводят свои системы в соответствие с требованиями к типовым, проводят их приемку, составляют акт соответствия, направляют его Оператору "большой" ГИС и если все хорошо получают акт распространения аттестата "большой" ГИС на свой сегмент. Как раз в этом случае на большинстве сегментов ГИС, которые уже не будут отдельными ОИ, будет проводиться не аттестация, а оценка соответствия сегмента аттестованному. Какой у Вас случай и что написано в аттестате "большой" ГИС - не знаю |
Автор: Дмитрий | 59399 | 29.10.2015 13:44 |
Вас понял. Буду обращаться к обладателю ГИС за разъяснением.
Еще раз большое спасибо! |
Автор: Анатолий | 65022 | 19.08.2016 10:53 |
Здравствуйте.
Начальство требует утвержденный вид Акта соответствия и Акта распространения аттестата. Есть ли они вообще? Насколько я знаю, таких документов по ГИСам не было сделано и разрабатывать эти документы самим. На что ссылаться, что бы убедить начальство? |
Автор: Евгений | 70221 | 28.03.2017 14:40 |
Здравствуйте!
Создаем распределенную ГИС, которая состоит из серверного сегмента и клиентского сегмента (совокупность типовых АРМов, объединенных в локальную сеть). Возможно ли на этапе аттестации заложить в аттестационные документы, чтобы аттестат соответствия распространялся также и на типовые рабочие места (по такому же составу что аттестованные), которые мы будем в будущем добавлять в клиентский сегмент? |
Автор: oko | 70222 | 28.03.2017 15:03 |
Приветствую!
Можно. Если вновь добавляемые рабочие места ничем не отличаются от существующих. Ни программно-аппаратным составом (с допустимыми отклонениями), ни технологиями подключения к серверному сегменту, ни уязвимостями (которых не должно быть, ага), ни иными параметрами безопасности. |
Автор: Евгений | 70228 | 28.03.2017 15:41 |
oko, спасибо за информацию.
|
Автор: Dfg | 70245 | 29.03.2017 06:18 |
Кстати новые изменения уже утвердили. Работаем по обновленному 17 приказу .
|
Просмотров темы: 26383