Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 >

Автор: oko | 70262 29.03.2017 13:13
to Dfg
А есть ссылочка на утвержденный документ? А то от сайта ФСТЭК можно обещанного 3 года ждать (или 5, ага? :) )

Автор: Dfg | 70268 29.03.2017 13:49

Автор: oko | 70273 29.03.2017 19:30
to Dfg
Thank's a lot!

Автор: Wild Cat | 70500 04.04.2017 17:48
По изменениям, внесённым в 17 приказ: "Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается." получается что теперь одна и таже организация не может создать систему защиты ГИС и потом аттестовать, т.к. документы по проектированию, внедрению и аттетстаты утверждаются руководителем организации (должностым лицом). Или всё же может при условии что проектированием, внедрением и аттетстатцией ГИС занимаются различные подразделения (и соответсвтвенно должностные лица)?

Автор: Писатель-фантаст | 70516 04.04.2017 22:26
По хорошему не могут - ведь тогда теряется весь смысл независимой оценки выполнения требований по безопасности информации.

Автор: oko | 70517 04.04.2017 22:55
Что хотел сказать ФСТЭК - как обычно за кадром. Лучше (качественнее) от этой ситуации не станет. Закрутят гайки - появится куча левых фирм с теми же людьми, но под другим юр.лицом. Не закрутят - документы будут подписывать разные сотрудники одной и той же фирмы. Короче, на любую хитрую... найдется свой... как говорится...
Прошло несколько месяцев

Автор: Tymrfik | 78976 11.10.2017 06:55
Расскажите, пожалуйста, из приказа ФСТЭК №17 УПД.16 - надо выдвинуть требования для сторонних организаций (их информационных систем). Какие быть ИС, взаимодействующие с нашей ГИС - можем ли мы выдвигать требование, чтобы они аттестовали свои ИС по определенному классу? или кроме 5 требований, что прописаны в УПД.16 мы ничего не имеем права требовать? Может подскажите шаблон такого документа (для требований)?

Автор: oko | 78996 11.10.2017 20:51
to Tymrfik
Вы им выдвигаете требования защиты по 17 приказу (всему, а не только УПД) под определенный класс + доп.требования, если это обосновано вашей Моделью угроз в части взаимодействия с ними. Классифицировать их можете самостоятельно, если защищаемая информация ваша. Они могут повысить класс при желании/необходимости. Могут разработать свою Модель угроз и обосновать доп.требования (которые в табл. 17 Приказа оставлены пустыми для данного класса ИС). Теоретически, могут и отсутствие необходимости определенных требований обосновать. Но, запомните, выдвигать им требование обязательной аттестации вы не можете. Если они гос.контора, то это подразумевается само собой, если коммерс - достаточно просто выполнить ваши требования...
А вообще, свою систему надо было заранее планировать с учетом других сторон взаимодействия. Единые требования, единая Модель, единый аттестат (по возможности)...

Автор: WORM, MK | 79006 12.10.2017 08:57
> Но, запомните, выдвигать им требование обязательной аттестации вы не можете.

Выдвинуть требования можно, другое дело, выполнят ли они их. Тут все упрется в то, кто от кого зависит. Если им надо подключиться - пусть выполняют требования, а если вам надо, чтобы они подключились - ваши требования их не волнуют.

Автор: oko | 79147 12.10.2017 13:42
to WORM
*на правах желания разобраться выскажу свою точку зрения*
Требования обязательной аттестации устанавливаются регулятором, а не эксплуатантом, разве нет? Тем более для чужих систем. Вот предъявить требования безопасности - другое дело. И тут не суть важно, кому оно надо по конечной цели (эксплуатанту, чтобы к нему подключались, или подключающейся стороне). Если есть аттестованная ГИС, то требования само собой разумеются и для всех ее "абонентов" (вне зависимости от форм собственности). Другое дело, что это требует от разработчика ГИС внесения изменений в свою документацию и свою систему защиты, если на этапе проектирования и ввода в эксплуатацию "абоненты" не рассматривались...

Страницы: < 1 2 3 4 5 6 >

Просмотров темы: 26385

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*