Comments 21
Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы»
А с версиями как?
Поправил мелкий баг — и все, уже не действует аттестация?
Если это не так, то и обратный подход — тоже не верен.
Где граница между мелкой правкой и правкой требующей переаттестации.
0
-… так пишите без багов!
-Нет! Вы не понимаете концепции разработки! (с)
0
Переаттестация нужна, если ваши правки влекут за собой появление новых угроз безопасности информации.
0
Так а как доказать, что не несут, если не переаттестоваться?
0
Не такой простой вопрос как кажется, это определяется моим любимым «экспертным путем». Как минимум, точно появляются новые угрозы при появлении новых технологий, например, не было в ГИС виртуализации, потом появилась -> новые угрозы. Плюс можно при изменениях в ГИС провести внеочередной анализ уязвимостей. Но в любом случае нужно обсуждать каждый случай изменений и что они за собой влекут отдельно.
0
del. коменты не обновляй, сразу пиши
+1
В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы».
Это конечно хорошо, но как выдавали на 3 года, так и будут. Потому что Положение по аттестации от 94 г. никто не отменял, в нём есть пункт:
«3.8.4. Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.»
+1
Действительно никто не отменял, есть еще и дспшные ГОСТы по аттестации, где тоже 3 года. Но у нас в свое время когда в 17 приказе ФСТЭК написали «аттестат на 5 лет» руководитель ФСТЭК по ДФО с трибуны заявил «кто на ГИС будет выдавать аттестат на 3 года — заберем лицензию» и все (по крайней мере кто присутствовал на сборе из лицензиатов) стали выдавать аттестаты на 5 лет.
+1
Интересно. На данной из конференций по ИБ с представителем ФСТЭК по ЦФО был примерно такой диалог:
Вопрос: Как выдавать аттестат на 5 лет, если в положении по аттестации написано что срок действия аттестата не должен превышать 3 лет?
Ответ: Внимательней читайте документ, «17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет», 3 года не превышает 5 лет? Вот и действуйте в соответствии с текущими документами по аттестации.
Вопрос: Как выдавать аттестат на 5 лет, если в положении по аттестации написано что срок действия аттестата не должен превышать 3 лет?
Ответ: Внимательней читайте документ, «17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет», 3 года не превышает 5 лет? Вот и действуйте в соответствии с текущими документами по аттестации.
0
Да, это обычная практика, когда неоднозначность формулировок влечет за собой разное понимание разными представителями регулятора одного и того же положения законодательства. В данном случае формулировка уже совсем другая. Мы, я думаю, перед выдачей очередного аттестата на ГИС просто позвоним нашему ФСТЭКу и уточним на какой срок выдавать аттестат.
0
UFO just landed and posted this here
Ну вообще если следовать букве закона, то 17 приказ в плане аттестации ГИС был всегда самодостаточен. Положение по аттестации сюда неприменимо в связи с тем, что ГИС не является ОИ. Поэтому это положение исключается и не важно что там считаю лицензиаты. Второй момент положение по аттестации говорит о соответствии ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ, а 17 приказ говорит об аттестации по ТРЕБОВАНИЯМ ЗАЩИТЫ ИНФОРМАЦИИ. Что касается ГОСТов, то верно, они применимы, но ГОСТы все рекомендованы к применению, так что приказ будет выше по рангу и поэтому должны будут быть аттестаты бессрочные.
Другой вопрос, что сейчас со старыми действующими аттестатами, системы надо переаттестовать или эти аттестаты стали бессрочными, как было в свое время с лицензиями ФСБ=/
Другой вопрос, что сейчас со старыми действующими аттестатами, системы надо переаттестовать или эти аттестаты стали бессрочными, как было в свое время с лицензиями ФСБ=/
0
По идее надо переаттестовывать по истечении срока действующего аттестата. А вот новый аттестат — уже бессрочный. Внесенные изменения в 17 приказ не имеют обратной силы.
Лицензии ФСБ тоже не превратились в бессрочные сами по себе, их нужно было переоформлять.
Лицензии ФСБ тоже не превратились в бессрочные сами по себе, их нужно было переоформлять.
0
Добавлю к Вашему мнению, что Положение оперирует понятием «объект информатизации", а в 17-м говорится об «информационной системе».
0
Я бы не употреблял слово «бессрочный» в отношении аттестата. Согласно приказу «Аттестат соответствия выдается на весь срок эксплуатации информационной системы». А это две большие разницы. Ну или четыре маленьких))
0
Подскажите, пожалуйста, в каком случае класс защищенности для информационной системы определяется для ее отдельных сегментов (составных частей)? Есть ли смысл готовить документ на сегмент, если КЗ уже определен на систему в целом? Может ли КЗ на сегмент отличаться от класса защищенности на систему в целом?
0
Отвечу за коллегу. На самом деле мне кажется вас немного запутали формулировки 17 приказа. Вот как там дословно написано:
Вот это «и» специально выделил, потому что оно многих сбивает с толку. И после наших консультаций со фстэком, выяснилось, что там должно было быть «или». Потому что, если система классифицируется в целом, то уже по определению целого у нее один класс на все элементы. Или можно классифицировать, например, центральный сегмент (серверы + админы) отдельно и пользовательский сегмент отдельно. В таком случае класс может отличаться (в центральном сегменте он, как правило, выше, а в пользовательском — ниже).
В вашем случае смысла нет делать еще какой-то документ, в любом случае — К3 это сейчас самый низкий класс.
Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей).
Вот это «и» специально выделил, потому что оно многих сбивает с толку. И после наших консультаций со фстэком, выяснилось, что там должно было быть «или». Потому что, если система классифицируется в целом, то уже по определению целого у нее один класс на все элементы. Или можно классифицировать, например, центральный сегмент (серверы + админы) отдельно и пользовательский сегмент отдельно. В таком случае класс может отличаться (в центральном сегменте он, как правило, выше, а в пользовательском — ниже).
В вашем случае смысла нет делать еще какой-то документ, в любом случае — К3 это сейчас самый низкий класс.
0
Спасибо. Выбрал неудачное сокращение для класса защищенности (КЗ). На систему в целом установлен класс защищенности К2. Соответственно, по логике вещей, нет никакой возможности классифицировать сегмент по классу защищенности К3, тем более если в нем еще и пользователи с повышенными привилегиями на другие сегменты?
0
Теоретическая возможность есть, потому что классификация ГИС не зависит от привилегий пользователей, используемых технологий и возможных угроз. Но мне, если честно, сама прописанная возможность классифицировать сегменты одной системы по-разному не нравится. Потому что чем меньше класс, тем меньше мер защиты, а у ИБшников есть поговорка: «Система защищена настолько, насколько защищено ее самое слабое звено».
0
Sign up to leave a comment.
Обзор изменений в 17-м приказе ФСТЭК