Автор: oko | 70262 | 29.03.2017 13:13 |
to Dfg
А есть ссылочка на утвержденный документ? А то от сайта ФСТЭК можно обещанного 3 года ждать (или 5, ага? :) ) |
Автор: Dfg | 70268 | 29.03.2017 13:49 |
Автор: oko | 70273 | 29.03.2017 19:30 |
to Dfg
Thank's a lot! |
Автор: Wild Cat | 70500 | 04.04.2017 17:48 |
По изменениям, внесённым в 17 приказ: "Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается." получается что теперь одна и таже организация не может создать систему защиты ГИС и потом аттестовать, т.к. документы по проектированию, внедрению и аттетстаты утверждаются руководителем организации (должностым лицом). Или всё же может при условии что проектированием, внедрением и аттетстатцией ГИС занимаются различные подразделения (и соответсвтвенно должностные лица)?
|
Автор: Писатель-фантаст | 70516 | 04.04.2017 22:26 |
По хорошему не могут - ведь тогда теряется весь смысл независимой оценки выполнения требований по безопасности информации.
|
Автор: oko | 70517 | 04.04.2017 22:55 |
Что хотел сказать ФСТЭК - как обычно за кадром. Лучше (качественнее) от этой ситуации не станет. Закрутят гайки - появится куча левых фирм с теми же людьми, но под другим юр.лицом. Не закрутят - документы будут подписывать разные сотрудники одной и той же фирмы. Короче, на любую хитрую... найдется свой... как говорится...
|
Автор: Tymrfik | 78976 | 11.10.2017 06:55 |
Расскажите, пожалуйста, из приказа ФСТЭК №17 УПД.16 - надо выдвинуть требования для сторонних организаций (их информационных систем). Какие быть ИС, взаимодействующие с нашей ГИС - можем ли мы выдвигать требование, чтобы они аттестовали свои ИС по определенному классу? или кроме 5 требований, что прописаны в УПД.16 мы ничего не имеем права требовать? Может подскажите шаблон такого документа (для требований)?
|
Автор: oko | 78996 | 11.10.2017 20:51 |
to Tymrfik
Вы им выдвигаете требования защиты по 17 приказу (всему, а не только УПД) под определенный класс + доп.требования, если это обосновано вашей Моделью угроз в части взаимодействия с ними. Классифицировать их можете самостоятельно, если защищаемая информация ваша. Они могут повысить класс при желании/необходимости. Могут разработать свою Модель угроз и обосновать доп.требования (которые в табл. 17 Приказа оставлены пустыми для данного класса ИС). Теоретически, могут и отсутствие необходимости определенных требований обосновать. Но, запомните, выдвигать им требование обязательной аттестации вы не можете. Если они гос.контора, то это подразумевается само собой, если коммерс - достаточно просто выполнить ваши требования... А вообще, свою систему надо было заранее планировать с учетом других сторон взаимодействия. Единые требования, единая Модель, единый аттестат (по возможности)... |
Автор: WORM, MK | 79006 | 12.10.2017 08:57 |
> Но, запомните, выдвигать им требование обязательной аттестации вы не можете.
Выдвинуть требования можно, другое дело, выполнят ли они их. Тут все упрется в то, кто от кого зависит. Если им надо подключиться - пусть выполняют требования, а если вам надо, чтобы они подключились - ваши требования их не волнуют. |
Автор: oko | 79147 | 12.10.2017 13:42 |
to WORM
*на правах желания разобраться выскажу свою точку зрения* Требования обязательной аттестации устанавливаются регулятором, а не эксплуатантом, разве нет? Тем более для чужих систем. Вот предъявить требования безопасности - другое дело. И тут не суть важно, кому оно надо по конечной цели (эксплуатанту, чтобы к нему подключались, или подключающейся стороне). Если есть аттестованная ГИС, то требования само собой разумеются и для всех ее "абонентов" (вне зависимости от форм собственности). Другое дело, что это требует от разработчика ГИС внесения изменений в свою документацию и свою систему защиты, если на этапе проектирования и ввода в эксплуатацию "абоненты" не рассматривались... |
Просмотров темы: 26385