Комментарии 21
Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы»
А с версиями как?
Поправил мелкий баг — и все, уже не действует аттестация?
Если это не так, то и обратный подход — тоже не верен.
Где граница между мелкой правкой и правкой требующей переаттестации.
-… так пишите без багов!
-Нет! Вы не понимаете концепции разработки! (с)
Переаттестация нужна, если ваши правки влекут за собой появление новых угроз безопасности информации.
Так а как доказать, что не несут, если не переаттестоваться?
Не такой простой вопрос как кажется, это определяется моим любимым «экспертным путем». Как минимум, точно появляются новые угрозы при появлении новых технологий, например, не было в ГИС виртуализации, потом появилась -> новые угрозы. Плюс можно при изменениях в ГИС провести внеочередной анализ уязвимостей. Но в любом случае нужно обсуждать каждый случай изменений и что они за собой влекут отдельно.
del. коменты не обновляй, сразу пиши
В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы».
Это конечно хорошо, но как выдавали на 3 года, так и будут. Потому что Положение по аттестации от 94 г. никто не отменял, в нём есть пункт:
«3.8.4. Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.»
Действительно никто не отменял, есть еще и дспшные ГОСТы по аттестации, где тоже 3 года. Но у нас в свое время когда в 17 приказе ФСТЭК написали «аттестат на 5 лет» руководитель ФСТЭК по ДФО с трибуны заявил «кто на ГИС будет выдавать аттестат на 3 года — заберем лицензию» и все (по крайней мере кто присутствовал на сборе из лицензиатов) стали выдавать аттестаты на 5 лет.
Интересно. На данной из конференций по ИБ с представителем ФСТЭК по ЦФО был примерно такой диалог:
Вопрос: Как выдавать аттестат на 5 лет, если в положении по аттестации написано что срок действия аттестата не должен превышать 3 лет?
Ответ: Внимательней читайте документ, «17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет», 3 года не превышает 5 лет? Вот и действуйте в соответствии с текущими документами по аттестации.
Вопрос: Как выдавать аттестат на 5 лет, если в положении по аттестации написано что срок действия аттестата не должен превышать 3 лет?
Ответ: Внимательней читайте документ, «17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет», 3 года не превышает 5 лет? Вот и действуйте в соответствии с текущими документами по аттестации.
Да, это обычная практика, когда неоднозначность формулировок влечет за собой разное понимание разными представителями регулятора одного и того же положения законодательства. В данном случае формулировка уже совсем другая. Мы, я думаю, перед выдачей очередного аттестата на ГИС просто позвоним нашему ФСТЭКу и уточним на какой срок выдавать аттестат.
НЛО прилетело и опубликовало эту надпись здесь
Ну вообще если следовать букве закона, то 17 приказ в плане аттестации ГИС был всегда самодостаточен. Положение по аттестации сюда неприменимо в связи с тем, что ГИС не является ОИ. Поэтому это положение исключается и не важно что там считаю лицензиаты. Второй момент положение по аттестации говорит о соответствии ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ, а 17 приказ говорит об аттестации по ТРЕБОВАНИЯМ ЗАЩИТЫ ИНФОРМАЦИИ. Что касается ГОСТов, то верно, они применимы, но ГОСТы все рекомендованы к применению, так что приказ будет выше по рангу и поэтому должны будут быть аттестаты бессрочные.
Другой вопрос, что сейчас со старыми действующими аттестатами, системы надо переаттестовать или эти аттестаты стали бессрочными, как было в свое время с лицензиями ФСБ=/
Другой вопрос, что сейчас со старыми действующими аттестатами, системы надо переаттестовать или эти аттестаты стали бессрочными, как было в свое время с лицензиями ФСБ=/
По идее надо переаттестовывать по истечении срока действующего аттестата. А вот новый аттестат — уже бессрочный. Внесенные изменения в 17 приказ не имеют обратной силы.
Лицензии ФСБ тоже не превратились в бессрочные сами по себе, их нужно было переоформлять.
Лицензии ФСБ тоже не превратились в бессрочные сами по себе, их нужно было переоформлять.
Добавлю к Вашему мнению, что Положение оперирует понятием «объект информатизации", а в 17-м говорится об «информационной системе».
Я бы не употреблял слово «бессрочный» в отношении аттестата. Согласно приказу «Аттестат соответствия выдается на весь срок эксплуатации информационной системы». А это две большие разницы. Ну или четыре маленьких))
Подскажите, пожалуйста, в каком случае класс защищенности для информационной системы определяется для ее отдельных сегментов (составных частей)? Есть ли смысл готовить документ на сегмент, если КЗ уже определен на систему в целом? Может ли КЗ на сегмент отличаться от класса защищенности на систему в целом?
Отвечу за коллегу. На самом деле мне кажется вас немного запутали формулировки 17 приказа. Вот как там дословно написано:
Вот это «и» специально выделил, потому что оно многих сбивает с толку. И после наших консультаций со фстэком, выяснилось, что там должно было быть «или». Потому что, если система классифицируется в целом, то уже по определению целого у нее один класс на все элементы. Или можно классифицировать, например, центральный сегмент (серверы + админы) отдельно и пользовательский сегмент отдельно. В таком случае класс может отличаться (в центральном сегменте он, как правило, выше, а в пользовательском — ниже).
В вашем случае смысла нет делать еще какой-то документ, в любом случае — К3 это сейчас самый низкий класс.
Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей).
Вот это «и» специально выделил, потому что оно многих сбивает с толку. И после наших консультаций со фстэком, выяснилось, что там должно было быть «или». Потому что, если система классифицируется в целом, то уже по определению целого у нее один класс на все элементы. Или можно классифицировать, например, центральный сегмент (серверы + админы) отдельно и пользовательский сегмент отдельно. В таком случае класс может отличаться (в центральном сегменте он, как правило, выше, а в пользовательском — ниже).
В вашем случае смысла нет делать еще какой-то документ, в любом случае — К3 это сейчас самый низкий класс.
Спасибо. Выбрал неудачное сокращение для класса защищенности (КЗ). На систему в целом установлен класс защищенности К2. Соответственно, по логике вещей, нет никакой возможности классифицировать сегмент по классу защищенности К3, тем более если в нем еще и пользователи с повышенными привилегиями на другие сегменты?
Теоретическая возможность есть, потому что классификация ГИС не зависит от привилегий пользователей, используемых технологий и возможных угроз. Но мне, если честно, сама прописанная возможность классифицировать сегменты одной системы по-разному не нравится. Потому что чем меньше класс, тем меньше мер защиты, а у ИБшников есть поговорка: «Система защищена настолько, насколько защищено ее самое слабое звено».
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Обзор изменений в 17-м приказе ФСТЭК