Как стать автором
Обновить
10
0

Пользователь

Отправить сообщение

Можно брать пример со ФСТЭК: «В целом соответствует требованиям по ЗИ, но...» =)

Да. И потом получить в ответ. ФСТЭК рассмотрел ваше решение и может сообщить следующее. В целом проведённая Вами оценка качества соответствует требованиям по ЗИ, но...» =))

Я думаю тут речь именно о том, чтобы в течение 5 дней отправить, а не чтобы через 5 дней после выдачи аттестата у ФСТЭК лежало на столе. Но будем конечно еще уточнять этот момент.

Да обычно не до отправки во ФСТЭК. Есть контрактные обязательства со вполне конкретными штрафами

Никакие внутренние документы, договоры и прочие NDA не могут противоречить законодательству. Так же как вы можете сколько угодно в своем внутреннем положении о коммерческой тайне (КТ) писать, что зарплата сотрудников является КТ, но вы не привлечете к ответственности сотрудника, который разгласит такую информацию, потому что по закону о КТ, такие сведения не могут быть отнесены к КТ.

При чём тут зарплата работников международной? как её лицензиат разгласит, если отправит во ФСТЭК, если ему её никто и не сообщит? Да и кому нужно и так знают (налоговая и другие службы). С чего это филиал международной корпорации будет благосклонно смотреть на то, что лицензиат, который аттестанул его ИСПДн, слил сведения о его системе защиты в федеральную службу РФ, особенно, если штаб-квартира такой корпорации находится, например, в поясе UTC-05:00? Лицензиаты теперь тоже привлекаются в эти игры?

17 приказ: Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.

Хмм. Пояндексил, нашёл заявку подведа ФСБ на госуслугах Услуги по переаттестации действующих объектов информатизации и проведению работ по защите и аттестации автоматизированных систем Дальневосточного отдела ФГУП «ПИ» ФСБ России.

— ФСТЭК может согласовывать документы месяцами;

А ещё в некоторых регионах местные власти требуют согласования с ними моделей и ТЗ. Что тоже может длиться месяцами, т.к. никаких регламентов они на себя не делают, сроков себе не устанавливают

— мы ни разу не видели в ответе от ФСТЭК на согласование МУ и ТЗ слова «согласовано», обычно они пишут «документы в целом соответствуют требованиям, но… {замечания}». Тут вопрос — когда считать документы согласованными? Вот получили первый ответ, исправили замечания, на этом всё? Или исправляем замечания, отправляем по новой, ждем второй ответ?

У нас были и согласованные на титуле МУ, и согласованные письмом. Стандартная фраза "считать согласованной"

— по опыту согласования десятков МУ и ТЗ — мы ни разу не получали замечания, которые могли бы в корне повлиять на систему защиты (например, актуальные угрозы признаны неактуальными или не учтены необходимые меры защиты), в основном косметика и спорные моменты, не влияющие в целом на проект системы защиты информации.

Были и замечания к актуальности угроз, особенно при согласовании с другой службой

Как сейчас это будет организовываться — не понятно, потому что даже сделать финт ушами — закрыть договор -> дождаться согласования -> выдать аттестат задним числом до окончания даты договора, не получится, потому что по новому Положению дата аттестата должна быть позже даты письма от ФСТЭК с согласованием.

А ещё потому, что надо аттестат уже отправить в течение 5 дней

С другой стороны, 4 месяца это только срок аттестации. Проектирование, аудит, разработка документов в этот срок не входит. Посмотрим как это будет работать.

Если есть этапность - да, Вы можете прописать в календарном плане: этап Аттестация - 4 месяца. А если этапности нет - аттестация - задача, а этап единственный?

Тут вы не правы от слова «совсем». Аттестат аккредитации органа по аттестации выдавался только для работ по гостайне (но и его уже упразднили). Собственно по вашей ссылке список именно таких лицензиатов.

Давно не в гостайне. Сейчас уточнил, действительно ФСТЭК уходит от аккредитации органов по аттестации (наверное, Росаккредитация сильно удивляется что за орган такой). Тем хуже. Получается "орган по аттестации" теперь вообще непонятно нечто - это сокращение в пределах документа, а ещё список лицензиатов по ГТ. Т.е. ОА - они как бы есть, но официально нет ни одного, получается, документа ФСТЭК, который бы определил, кто такие ОА.
Могли бы хотя бы ввести ОА - в виде термина. А так, если некая абстрактная незамужняя женщина скажет, что у неё есть Малый Улучшенный Жёлудь (далее - муж), это не значит, что все органы госвласти, включая ЗАГС будут подтверждать, что мол да, у неё есть муж.
И вообще, непонятно, что за странность использовать именно это словосочетание. Уже много лет все используют слово "лицензиат", все привыкли, органы - в ГТ, здесь - лицензиаты. Наверное, была проведена поисковая НИР, психологическо-маркетинговой-технической направленности, в результате которой определено, что подменой техницизма "лицензиат" этом словосочетанием и введением в оборот в профессиональной среде в области защиты конфы повысит обороноспособность страны, защищённость всех ФГИС/ГИС/МИС и прочих ИС.

Не знаю с какого вы региона, но на ДВ так всегда было. Не прямо, но косвенно наличие техпаспорта было обязательно при атетстации, потому что в ходе испытаний нужно провести «анализ полноты исходных данных и проверку их соответствия реальным условиям размещения, монтажа и эксплуатации ГИС».

С центрального. Не было до Порядка ни одного документа ФСТЭК с 2013 года, который бы требовал разрабатывать этот анахронизм. Его могли требовать по контракту Заказчики. Но и то были варианты.

При сегментном подходе у нас тоже никто обязанность подготовки техпаспорта не снимал. Просто обязанности по подготовке техпаспорта на сегмент ложилась на оператора сегмента.

Не совсем понятно, сегментный подход определён в ГОСТ (п. 6.5.3) и в 17ом Приказе (п. 17.3). Там не встречается словосочетание "технический паспорт", а значит такой обязанности ни на Заказчика, ни на Лицензиата просто не установлено. Поэтому никто его делать и не был обязан.
*не понял, кто такой оператор сегмента ИС. При сегментном подходе или без него - оператор у ИС всегда один - это определено определением из 149-фз. Есть вариант, что региональная ГИС в названии имеет слово "Сегмент...", но это не сегмент ГИС, а ГИС "Сегмент ФГИС".

В итоге если это огромная ГИС на тысячи АРМ, при любом подходе все эти АРМ должны были быть внесены в техпаспорты.

Да весь цимус сегментного подхода: возможность для лицензиата - сократить сроки, а для Заказчика - уменьшить стоимость работ по аттестации. Уже после после получения аттестата и ввода ИС в действие, владелец может постепенно покупать средства защиты, устанавливать и настраивать их в соответствии с эталонными аттестованными сегментами, и вводить их в эксплуатацию путём приёмки, без участия лицензиата.

Ооо! Есть варианты для проведения схемы 3 в жизнь (встречался):
1. Оператор ЦОД говорит, что: «Это всего лишь название. Начальник/хозяин/хозяйка очень хочет. Меня уволят/лишат премии. Это же ничего не нарушает. Нет такого закона, что я не мог назвать свою ИС как хочу...».
2. Аттестующая организация выигрывает конкурс. В ТЗ прописано: «Результатами работ являются следующие документы:… аттестат соответствия», без уточнения «в случае положительных результатов аттестационных испытаний». А дальше Заказчик: «Да, вы можете не дать аттестат, но тогда, я не смогу подписать акт приёмки, т.к. по формальным признакам вы не выполнили контракт. А ещё я подам в ФАС вашу организацию, как недобросовестных поставщиков.» Вот лицензиат и думает, что можно потом и исключить себя из реестра недобросовестных, но на весь период разбирательств — выполнять контракты будет нельзя.
3. Как вы и написали — слабый/свой лицензиат.
4. Самому себе можно аттестат выписать))) Кто ж проверит?
Может ещё что, но думаю и этих вариантов за глаза для существования схемы 3 в жизни

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность