Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Консультации по внедрению различных технических решений Аттестация информационной системы с удаленными АРМами.
Protectiva Compliance Manager

Аттестация информационной системы с удаленными АРМами.

Операции с документом
Вверх к Консультации по внедрению различных технических решений

Аттестация информационной системы с удаленными АРМами.

Послано Валерий Сохоров в 13.Март.2012 16:16
Ребята подскажите пожалуйста.
имеется информационная система, в которой будет информация категории К1.
в данной информационной системе будут как локальные АРМы так и удаленные АРМы.
данные удаленные АРМы будут установлены у других юрлиц.
насколько я понимаю то аттестовывается информационная система в целом в том числе и удаленных АРМов.
если ИС проходит аттестацию, скажем с 5 удаленными АРМами, необходимый пакет документов об аттестации выдается владельцу данной ИС.
теперь собственно вопрос.
как быть тем юрлицам у которых установлен данный удаленный АРМ в случае если к ним приходит ФСТЭК или Роскомнадзор?

Аттестация информационной системы с удаленными АРМами.

Послано Александр Астахов в 13.Март.2012 16:26
Лучше аттестовать удаленные АРМы каждый в отдельности, т.к. это АС, эксплуатируемые в разных организациях. Каждой из этих организаций надо выдать соответствующий аттестат на ее АРМ.

Аттестация информационной системы с удаленными АРМами.

Послано Валерий Сохоров в 13.Март.2012 17:09
"лучше аттестовать" т.е. все таки есть вариант при котором отдельно удаленные АРМы не нужно будет отдельно аттестовывать?
вопрос просто как всегда в деньги упирается...

Аттестация информационной системы с удаленными АРМами.

Послано Александр Астахов в 13.Март.2012 17:23
Теоретически можно аттестовать все что угодно, только как это оформить на практике, ведь в вашем случае будут аттестоваться также АРМы принадлежащие другим организациям и находящиеся на их территории? На основании чего аттестующая организация будет проверять эти организации? Потребуется заключать соответствующие договора. Уж проще провести раздельные аттестации и выдать всем аттестаты.

Надо проанализировать обязательно ли вообще в вашем случае аттестовать удаленные АРМы. Какой нормативный акт предписывает это делать?

Аттестация информационной системы с удаленными АРМами.

Послано Валерий Сохоров в 14.Март.2012 09:47
From astahov:

Надо проанализировать обязательно ли вообще в вашем случае аттестовать удаленные АРМы. Какой нормативный акт предписывает это делать?


а вот это очень интересно!
дело в том что я не такой уж специалист в данном вопросе, наш подрядчик настаивает на аттестации удаленных АРМов, не подскажите Вы какие нормативные акты изучить и руководящие документы, для того чтобы понять действительно ли нужно аттестовывать удаленные АРМы?

Аттестация информационной системы с удаленными АРМами.

Послано Александр Астахов в 14.Март.2012 10:09
Поскольку речь идет о персональных данных, относящихся к категории конфиденциальной информации, то единственным на сегодняшний день документом, устанавливающим обязательность проведения аттестации объектов информатизации по требованиям безопасности информации, является СТР-К. В нем, в частности, сказано, что объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями настоящего документа.

Однако требования СТР-К распространяются на защиту государственных информационных ресурсов, к которым персональные данные граждан вряд ли можно отнести. Для всех остальных типов систем, обрабатывающих конфиденциальную информацию, СТР-К носит рекомендательный характер, а процедура аттестации является сугубо добровольной.

Таким образом, аттестация сейчас является добровольной процедурой для всех типов ИСПДн, за исключением ИСПДн, обрабатывающих информацию, относимую к государственной тайне или к государственным информационным ресурсам.

Аттестация информационной системы с удаленными АРМами.

Послано Валерий Сохоров в 14.Март.2012 10:31
спасибо, становится понятнее.
у нас информационная система которая относится к государственным информационным ресурсам... в которой персданные жителей региона...

Аттестация информационной системы с удаленными АРМами.

Послано Aleksandr в 29.Март.2012 16:41
From astahov:
Поскольку речь идет о персональных данных, относящихся к категории конфиденциальной информации, то единственным на сегодняшний день документом, устанавливающим обязательность проведения аттестации объектов информатизации по требованиям безопасности информации, является СТР-К.[/i].

Однако требования СТР-К распространяются на защиту государственных информационных ресурсов, к которым персональные данные граждан вряд ли можно отнести. Для всех остальных типов систем, обрабатывающих конфиденциальную информацию, СТР-К носит рекомендательный характер, а процедура аттестации является сугубо добровольной.

Таким образом, аттестация сейчас является добровольной процедурой для всех типов ИСПДн, за исключением ИСПДн, обрабатывающих информацию, относимую к государственной тайне или к государственным информационным ресурсам.


А если учесть тот факт, что СТР-К не имеет юридической силы, так как не утвержден МинЮстом, то аттестация в нашей стране вообще не является обязательной процедурой.
Чтобы удовлетворить требованиям ФСТЭК, рекомендую вам согласовать с ними ваши технические решения по защите информации, а также разработать комплекс организационных механизмов по поддержанию вашей системы в защищенном состоянии. При этом вы не должны забывать, что на этапе ввода в действие системы защиты необходимо провести испытания системы защиты с оформлением протокола, который и будет являтся основанием для ввода вашей ИСПДн в промышленную эксплуатацию.

Аттестация информационной системы с удаленными АРМами.

Послано Сергей Л в 1.Апрель.2012 11:47

Извините, что вклинился в Ваш междусобойчик.
Но может быть имеет смысл рассмотреть еще один вариант уменьшения стоимости ввода в эксплуатацию системы. А именно: разбить систему передачи персональных данных на составляющие, которые аттестовать отдельно (сеть передачи данных, банк данных и типовое автоматизированное рабочее место (далее -АРМ). Это позволит переложить закупку типовых АРМ, проведение проектно изыскательских работ (далее - ПИР), а так же аттестацию объектов информатизации на юрлиц у которых будут установлены данные АРМы.
Кроме этого не забывайте, что если у Вас используются СКЗИ, а скорее всего так оно и есть, то вы подпадаете под требования "ПКЗ-2005" и при их выполнении можете вообще обойтись без аттестации в ФСТЭК.
Это так для обсуждения.

Аттестация информационной системы с удаленными АРМами.

Послано Сергей Л в 1.Апрель.2012 12:16

P.S.
1. Кроме это в случае оформления соответствующего соглашения о создании ведомственного фрагмента вашей сети, вы можете переложить на данных юрлиц еще и реализацию закупки и ввода в эксплуатацию элемента сети передачи данных к их АРМу.
2. Так же не забывайте, что использование СКЗИ приведет к необходимости получения соответствующих лицензий ФСБ России, но так как у вас по сети гуляют персональные данные и к тому же, из выше сказанного, система госструктуры это неизбежно.

Еще раз приношу свои извинения но я не волшебник, а только учусь в данном форме. Поэтому оформление ответов страдает.
Данная проблема и для меня тоже актуальна. Поэтому хотелось бы рассмотреть всевозможные варианты ее реализации, а также подводные камни и попутные течения.
Заранее благодарен ...:rolleyes:

Аттестация информационной системы с удаленными АРМами.

Послано Михаил Новокрещенов в 4.Апрель.2012 08:12
По поводу аттестации, согласен, на сегодняшний момент ситуация неоднозначная, так что аттестовываться или нет в конечном счете решать вам, аргументы за и против здесь уже были высказаны. А по поводу удаленных АРМ из других юридических организаций. Думаю, что вам проще было бы позиционировать их как отдельные ИСПДн. Соответственно вопрос по аттестации этих удаленных АРМ решался бы уже каждой отдельной организацией и вы с себя ответственность за эти АРМы снимете.
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex