С кем согласовывается программа и методики аттестационных испытаний объекта информатизации

Аттестация объекта информатизации (ОИ) по требованиям безопасности информации (БИ) это комплекс организационно-технических мероприятий, в результате которых подтверждается, что на ОИ выполнены требования по БИ, оглашенные в нормативно-технической документации и утвержденные гос. органами обеспечения БИ и контролируемые при аттестации.
По завершению аттестационных работ, при соблюдении всех требований, заявителю выдается «Аттестат соответствия», разрешающий обрабатывать информацию утвержденного уровня конфиденциальности.
Наличие на ОИ действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в этом «Аттестате соответствия».
Обязательной аттестации подлежат ОИ, предназначенные для обработки информации, составляющей гос. тайну, управления экологически опасными объектами, ведения секретных переговоров. В оставшихся случаях аттестация носит добровольный характер (аттестация) и может осуществляться по инициативе заказчика или владельца ОИ.

Аттестация объектов информатизации. Институт «РОПКиП»

Аттестация по требованиям БИ предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном ОИ систем защиты информации.
При аттестации ОИ подтверждается его соответствие требованиям по защите информации от несанкционированного доступа (НСД), в том числе от компьютерных вирусов и утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает аттестационные испытания защищаемого ОИ в реальных условиях эксплуатации систем с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню БИ.
Аттестация ОИ проводится органом по аттестации в установленном законодательством порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
— анализ исходных данных по аттестуемому ОИ;
— предварительное ознакомление с аттестуемым ОИ;
— проведение экспертного обследования ОИ и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной, методической, организационно-распорядительной документации;
— проведение испытаний отдельных средств и систем защиты информации на аттестуемом ОИ с помощью специальной контрольной аппаратуры и тестовых средств (в том числе программных);
— проведение испытаний отдельных средств и систем защиты информации в испытательных лабораториях по сертификации средств защиты информации по требованиям БИ;
— проведение аттестационных испытаний ОИ в реальных условиях эксплуатации;
— анализ результатов экспертного обследования и комплексных аттестационных испытаний ОИ и утверждение заключения по результатам аттестации.

Аттестация объектов информатизации по требованиям безопасности информации 1 часть

Определения и понятия, используемые при аттестации ОИ

Объект информатизации (ОИ) — совокупность средств информатизации вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи защищаемой информации, а также выделенные помещения.

Средства информатизации — средства вычислительной техники и связи, оргтехники, предназначенные для сбора, накопления, хранения, поиска, обработки данных и выдачи информации потребителю.

Средства вычислительной техники (СВТ) — электронные вычислительные машины и комплексы, персональные электронные вычислительные машины, в том числе программные средства, периферийное оборудование, устройства телеобработки данных.

Объект вычислительной техники (ВТ) — стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации к объектам вычислительной техники, относятся автоматизированные системы (АС), автоматизированные рабочие места (АРМ) информационно-вычислительные центры (ИВЦ) и другие комплексы средств вычислительной техники.
К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.

Выделенное помещение (ВП) — специальное помещение, предназначенное для проведения собраний, совещаний, бесед и других мероприятий речевого характера по секретным или конфиденциальным вопросам.
Мероприятия речевого характера могут проводиться в выделенных помещениях с использованием технических средств обработки речевой информации (ТСОИ) и без них.

Техническое средство обработки информации (ТСОИ) — техническое средство, предназначенное для приема, хранения, поиска, преобразования, отображения и/или передачи информации по каналам связи.
К ТСОИ относятся средства вычислительной техники, средства и системы связи средства записи, усиления и воспроизведения звука, переговорные и телевизионные устройства, средства изготовления и размножения документов, кино-проекционная аппаратура и другие технические средства, связанные с приемом, накоплением, хранением, поиском, преобразованием, отображением и/или передачей информации по каналам связи.

Автоматизированная система (AC) — комплекс программных и технических средств, предназначенных для автоматизации различных процессов, связанных с деятельности человека. При этом человек является звеном системы.

Специальная проверка — это проверка технического средства обработки информации, осуществляемая с целью поиска и изъятия специальных электронных закладных устройств (аппаратных закладок).

Аттестат объекта защиты — документ, выдаваемый органом по сертификации или другим специально уполномоченным органом подтверждающий наличие на объекте защиты необходимых и достаточных условий для выполнения установленных требований и норм эффективности защиты информации.

Аттестат выделенного помещения — документ, выдаваемый органом по аттестации или другим специально уполномоченным органом, подтверждающий наличие необходимых условий, обеспечивающих надежную акустическую защищенность выделенного помещения в соответствии с установленными нормами и правилами.

Предписание на эксплуатацию — документ, содержащий требования по обеспечению защищенности технического средства обработки информации в процессе его эксплуатации.

Программа и методики аттестационных испытаний (ПиМ) — обязательный для выполнения, организационно-методический документ, устанавливающий объект и цели испытании, виды, последовательность и объем проводимых экспериментов, порядок, условия, место и сроки проведения испытаний, обеспечение и отчетность по ним, а также ответственность за обеспечение и проведение испытаний.

Методика аттестационных испытаний — обязательный для выполнения, организационно методический документ, включающий метод испытаний, средства и условия испытаний, отбор образцов, алгоритм выполнения операций. По определению одной или нескольких взаимосвязанных характеристик защищенности объекта формы представления данных и оценка точности, достоверности результатов.

Протокол аттестационных испытаний — документ, содержащий необходимые сведения об объекте испытаний, применяемых методах, средствах и условиях испытаний, а также заключение по результатам испытаний, оформленный в установленном порядке.

Основные технические средства и системы (ОТСС) — технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной (секретной) информации
К ОТСС могут относиться средства и системы информатизации (средства вычислительной техники, АС различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео-, смысловой и буквенно-цифровой информации) используемые для обработки конфиденциальной (секретной) информации.

Вспомогательные технические средства и системы (ВТСС) — технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.

К ним относятся:
— различного рода телефонные средства и системы;
— средства и системы передачи данных в системе радиосвязи;
— средства и системы охранной и пожарной сигнализации;
— средства и системы оповещения и сигнализации;
— контрольно-измерительная аппаратура;
— средства и системы кондиционирования;
— средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
— средства электронной оргтехники.
Подготовка документов по итогам аттестационных испытаний
По результатам аттестационных испытаний по различным направлениям и компонентам составляются Протоколы испытаний. На основании протоколов принимается Заключение по результатам аттестации с краткой оценкой соответствия ОИ требованиям по безопасности информации, выводом о возможности выдачи «Аттестата соответствия» и необходимыми рекомендациями. В случае, если объект информатизации соответствует установленным требованиям по БИ, на него выдается «Аттестат соответствия».
Переаттестация объектов информатизации (повторная аттестация)

Переаттестация ОИ производится в случае, когда на недавно аттестованном объекте были произведены изменения. К таким изменениям может быть отнесено:
— изменение категории объекта;
— изменение расположения ОТСС или ВТСС;
— замена ОТСС или ВТСС на другие;
— замена технических средств защиты информации;
— изменения в монтаже и прокладке слаботочных и соловых кабельных линии;
— несанкционированное вскрытие опечатанных корпусов ОТСС или ВТСС;
— производство ремонтно-строительных работ в выделенных помещениях и пр.
В случае необходимости переаттестации объекта информатизации повторная аттестация производятся, по упрощенной программе Упрощения заключаются, в том, что испытаниям подвергаются только элементы, подвергшиеся изменениям, (или внесенные изменения повлекли за собой изменения параметров этих элементов).

Источник: www.itworkroom.com

Аттестация объекта информатизации по 77 Приказу ФСТЭК

Аттестация объекта информатизации предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации

Аттестация объектов информатизации

Чтобы в полном объеме оценить масштабы происходящих изменений согласно 77 приказ ФСТЭК давайте на несколько минут вернемся на несколько лет назад и вспомним такие документы как:

• «Положение по аттестации объектов информатизации по требованиям безопасности информации» (утверждено Гостехкомиссией России 25 ноября 1994 г.);
• Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282. ДСП
• ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения. ДСП
• ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний. ДСП

Первое, на что необходимо обратить внимание – год принятия данных документов. Безусловно, «раньше было лучше», но окружающий нас мир не стоит на месте, развиваются технологии, системы, механизмы защиты.

Второе – это гриф ДСП. Если Вам по каким-то причинам потребовалось изучить данные документы, и вы умеете обеспечивать их сохранность, то быстро прочитать их у Вас не получится. Их не покупают на маркетплейсах и интернет-магазинах, а заказывают в специализированных организациях. Сроки составляют несколько месяцев.

Третье – это используемый подход к порядку аттестации объектов информатизации. Позиция ряда компаний заключалась в следующем. Есть потребность в данной услуге, результатом работы является несколько документов, регулятор проверяет данную работу очень выборочно и для значимых для государства систем, а следовательно, можно делать «проще, дешевле, быстрее». Ну Вы поняли.

77 Приказ ФСТЭК для нашей молодой команды по меркам бизнеса в области информационной безопасности появился очень вовремя. Он сводит на нет бумажную аттестацию, которой ранее занимались около 75% рынка и дает возможность коллективам, нацеленным на работу и результаты набрать компетенций и увеличить количество персонала, дав рабочие места и мотивацию для людей.

Пора провести анализ документа 77 приказ фстэк 2021 и указать на разделы, на которые стоит обратить внимание.

Кто может

Одновременно все просто и все очень сложно.

С точки зрения исполнителя появляется проект по аттестации объектов информатизации, который состоит из множества задач, назначаются исполнители в виде экспертов и председателя и далее внутренняя кухня команды.

А вот с точки зрения Заказчика говориться о том, что данные мероприятия могут инициировать органы и компании, которым на праве собственности или другом основании принадлежат те самые системы и помещения, а также компаниями, заключившими договора на создание тех самых систем, или лицами, осуществляющими эксплуатацию объектов информатизации

Аттестация объектов информатизации +по требованиям безопасности

• государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных (ГИС, МИС, а также ГИС и МИС, в которых обрабатываются ПДн);
• информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением (ИС в ОПК и АС станков с ЧПУ);
• помещений, предназначенных для ведения конфиденциальных переговоров (защищаемые помещения или ЗП).

Стоит сделать оговорку на то, что Порядок организации и проведения работ по аттестации защищаемых помещений касается помещений, планируемых для выполнения требований и условий, необходимых для лицензирования деятельности по технической защите конфиденциальной информации.

Давайте поговорим про добровольную аттестацию, которую выполняли по требованиям по требованиям ГОСТ РО 0043-003-2012. Данный документ необходимо применять, если установлено требование по проведению оценки соответствия систем защиты информации объектов требованиям по защите информации в форме аттестации, а именно для:

• значимых объектов критической информационной инфраструктуры Российской Федерации (ЗОКИИ согласно приказу ФСТЭК № 239);
• информационных систем персональных данных (ИСПДн согласно приказу ФСТЭК № 21);
• автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (АСУ ТП согласно приказу ФСТЭК № 31).

Казалось бы, все просто, смотрим входит ли система, подлежащая аттестации по требованиям безопасности, в данные списки и если нет, то проводим аттестацию как ранее.

Ну, не совсем так. Если написать письмо в регулятор и спросить требуется ли проводить аттестацию по требованиям безопасности для чего-то не входящего в данный список – Вы получите ответ, что необходимо делать по-новому.

Организация работ по аттестации объектов информатизации

В процессе аттестационных мероприятий объектов информатизации определены следующие роли:

• владелец ОИ;
• орган по аттестации;
• аттестационная комиссия;
• ФСТЭК России.

Аттестационные мероприятия могут проводить Компании, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России, а также владельцы объектов, которые фактически выполняют требования к лицензиатам и проинформировали ФСТЭК России о принятом решении.

Возможность, которую предоставили владельцам достаточно интересная, время подскажет сколько организаций захотят ею воспользоваться. На наш взгляд должно быть разделение работ на создание и модернизацию самой системы, системы обеспечения информационной безопасности и сами аттестационные мероприятия и это учтено:

• определен минимальный состав аттестационной комиссии органа по аттестации:

• руководитель комиссии
• два компетентных эксперта.

Проведение работ по аттестации объектов информатизации

Далее проще с точки зрения документации, но не реальности жизни, которая сформировалась годами.

Проведение работ можно разделить на стадии:

1. Сбор и анализ информации об объекте информатизации.

Владелец объекта предоставляет бумажные иди электронные версии следующих документов:

• технический паспорт
• акт классификации
• модель угроз безопасности информации
• техническое задание на создание (развитие, модернизацию)
• проектную документацию
• эксплуатационную документацию
• организационно-распорядительные документы
• отчет по результатам анализа уязвимостей

1. Разработка Программы и методики аттестационных испытаний объекта информатизации

На данном этапе исполнитель разрабатывает документ Программа и методики аттестационных испытаний объекта информатизации, согласует его с Заказчиком и утверждает.

Основное отличие, на которое следует обратить внимание, заключается в перечислении актуальных угроз безопасности информации. Ранее давать ссылку на Модель угроз или на сами угрозы не требовалось.

Ранее аттестационные мероприятия выполнялись параллельно с разработкой всей документации и внедрением средств защиты информации. Теперь необходимо сначала выполнить весь объем работ по созданиюмодернизации и внедрению системы или средств защиты информации, а потом только приступать к аттестации.

Безусловно, на бумаге звучит отлично и правильно, но реальности последних лет наших тендеров такова, что требуют от исполнителя умения распараллеливать процессы работ и тесного общения команд, чтобы проводить обследование, параллельно разрабатывать рекомендации по настройке средств защиты и документировать результаты проектирования по результатам внедрения. Прошу прощения за каламбур, но именно так выполняются работы.

Стоит также отметить, что из рассмотрения выпала оценка эффективности защиты (защищенности) информации от утечки по техническим каналам. Теперь данное мероприятие актуально только для защищаемых помещений, а значит сократился рынок использования генераторов шума, но мы не расстраиваемся и будем периодически включать наш.

1. Аттестационные испытания объектов информатизации

На данном этапе исполнителем проводятся все перечисленные оценки и проверки, описанные в разделе.

Стоит отдельно отметить, что по результатам аттестационных испытаний Лицензиат оформляет заключение по результатам аттестационных испытаний объекта информатизации. Данное Заключение подписывает руководитель и эксперты.

После выполнения данных мероприятий оформляются протоколы аттестационных испытаний объекта информатизации. Процедура утверждения протоколов – аналогична Заключению.

В течении 5 дней после утверждения данных документов Лицензиат должен направить аттестационную документацию Заказчику работ.

Дальше пойдет речь о работах, которые никто и никогда не оценивал раньше, а следовательно, ресурсов на их реализацию у Лицензиата попросту нет или они будут вести проект в убыток. Если в ходе работ были выявлены недостатки, то Заказчик может их устранить, а лицензиату повторно нужно проверить качество их устранения. Представьте территориально-распределенную систему с сотней или больше объектов. Вы их объехали и выявили недостатки, обсудили с Заказчиком способы их устранения и потом повторно проверили правильно ли их устранили.

В пункте 24 закрепили возможность за заказчиком работ обжалования решения Лицензиата. На это отведено 5 рабочих дней.

Взаимодействие с регулятором

Самый интересный раздел в данном документе посвящен контролю ФСТЭК России за приводящимися аттестациями по всей России. Наверное, было бы уместно создать ГИС Аттестация объектов информатизации и предоставить в нее доступ лицензиатам для возможности ввода данных, но мы не ищем легких путей, поэтому отставим чай в сторону и смотрим.

Лицензиат в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

• а) аттестата соответствия объекта информатизации;
• б) технического паспорта на объект информатизации;
• в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;
• г) программы и методик аттестационных испытаний объекта информатизации;
• д) заключения и протоколов.

Документы Технический паспорт информационной (автоматизированной) системы, АКТ классификации информационной (автоматизированной) системы лицензиат должен передать те, которые получил на этапе Сбор и анализ информации об объекте информатизации.

Полученные сведения работники ФСТЭК России вносят в реестр аттестованных объектов информатизации.

Казалось бы, все просто нужно взять результаты работ и в электронном виде передать. Правда жизни на данный момент такова, что мы сканируем получившиеся документы, записываем на флешку или CD, делаем ряд сопроводительных писем, идем на почту и направляем письмо. Вот они безопасные коммуникации современного мира.

Регулятор также планирует выполнять контрольные мероприятия за обеспечением безопасного функционирования аттестованных объектов. С этой целью после внесения в реестр аттестованных ОИ специалисты выполняют экспертно-документальную оценку документов, представленных Лицензиатом.

Заявляется, что аттестат соответствия объектов информатизации будет выдаваться на весь срок эксплуатации, но периодический контроль аттестованных систем должен проводиться не реже 1 раза в два года. Полученные материалы по результатам периодического контроля направляются владельцем во ФСТЭК России самостоятельно.

Источник: check-ib.ru

Рупор «бумажной» безопасности

Опубликован для общественного обсуждения проект приказа ФСТЭК России «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну». У нас есть возможность повлиять на формулировки приказа до 29 декабря 2020 года.

Традиционно начнем с карточки документа.

Ладно, что основной и дополнительный электронный адрес для отправки предложений одинаковый. Беден ФСТЭК на эл.ящики?

Почему то вместо обычного почтового адрес дан опять в формате электронного ящика?

Я вот смотрю на приложение № 2 к приказу и спросить хочу у авторов проекта: вы действительно считаете, что акт классификации ГИС разрабатывается и оформляется на этапе аттестации? Я был уверен, что намного раньше. И почему тогда не представлены формы актов классификации АСУ ТП или акты категорирования ЗОКИИ? Эта типовая форма должна быть приложением к 17 приказу, но не к требованиям по аттестации.

Теперь про сам приказ.

2. Установить, что указанный в пункте 1 настоящего приказа Порядок применяется для аттестации объектов информатизации с 1 июня 2021 г.

Обычно пишется, что приказ вступает в силу с 01 июня 2021 года. Других пунктов в приказе вообще нет. С учетом традиционных задержек, надежнее писать — вступает в силу через 6 месяцев после публикации.

Переходим к порядку.

1. Пункт № 1 порядка отсылает нас к 149-ФЗ, нет никаких упоминаний про другие ФЗ. Тот же 187-ФЗ не упомянут. Встает вопрос обоснованности распространения требований данного порядка на множество других объектов информатизации:

К объектам информатизации, подлежащим аттестации в соответствии с настоящим Порядком, относятся государственные и муниципальные информационные системы, информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, защищаемые помещения, а также значимые объекты критической информационной инфраструктуры и автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, для которых при их создании установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.

В 239 приказе требования по обеспечению безопасности ЗОКИИ, а не по защите информации.

2. Смотрим п.№3 «Аттестация объектов информатизации проводится на этапе создания объекта информатизации». А как проводить аттестацию действующих объектов информатизации? Видимо забыли добавить «и модернизации».

3. Пункт № 4 прекрасен. «Аттестация объектов информатизации проводится федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации (далее – владельцы объектов информатизации).». Мало ФСТЭК испытала проблем с КИИ, где устанешь определять владельца ГИС.

Но ведь это не бьется с 17 приказом — «Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором». Вся централизация ИБ в органах власти исчезает бесследно. Ни заказчика, ни оператора ГИС. Зачем?

4. Пункт №5 вызывает очередные вопросы по КИИ. «Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию ТЗКИ», но вот не обязан лицензиат знать нормативку по КИИ. Не установила ФСТЭК для него такие требования. И как он будет проверять на соответствие НПА, которых не знает?

5. Пункт № 6 меня восхитил. ФСТЭК разрешил не выполнять требования Федерального закона от 04.05.2011 N 99-ФЗ «О лицензировании отдельных видов деятельности».

6. Пункт 11. «в) модель угроз безопасности информации (только для информационных (автоматизированных) систем);» А что так? 239 приказ таких исключений не содержит. Для АСУ/ИТКС, если они ЗОКИИ, оформляются МУ.

в пп «г» появилась «модернизация.

7. Пункт № 13 «Программа и методики аттестационных испытаний может быть уточнена органом по аттестации по согласованию с владельцем объекта информатизации в ходе обследования объекта информатизации в условиях его эксплуатации.». Непонятно, ведь в п.10 прописано «Аттестация объекта информатизации проводится владельцем объекта информатизации до ввода объекта информатизации в эксплуатацию».

8. Пункт 17 «б) проверку наличия и согласования с ФСТЭК России модели угроз безопасности информации и технического задания». Вообще то, в ПП676 указано «и/или».

9. Пункт 17 «д). Непонятно, будет ли проверятся соответствие на 235 приказ, в части специалистов безопасности ЗОКИИ.

10. Пункт 17 «е). Будут проверять именно «уровень знаний»? Экзамен проводить? а по какой программе и методике? Или речь про проверку квалификации по наличию «корочек»?

11. Пункт 18. Подразумевается пентест чужого ЦОДА? «При этом испытания должны предусматривать анализ и тестирование серверной части или информационно-телекоммуникационной инфраструктуры основного и резервного (при наличии) центра обработки данных, информационно-телекоммуникационной сети».

В документе очень много внимания уделено ЦОДам, это правильно. Только у нас документ по организации, а вот организации собственно проверки ЦОД ничего не указано. Должен ли владелец ЦОД согласовать ПиМ аттестации при таких условиях? Я считаю, что это будет правильно.

12. Пункт № 24. Яркий пример того, как не надо писать документы по организации работ. Много текста, но никакого смысла. Кто направляет, в какие сроки? Надо ли уведомлять владельца ЦОД?

Полная мешанина и непонятно кто и что делает.

13. Пунктом № 25 ФСТЭК вмешивается в гражданско-правовые отношения двух хозяйствующих субъектов. Аттестация ОИ проводится по договору. Теперь будем писать пункты в договор, что в случае спорных моментов при приемке работ — обращаемся в ФСТЭК. И решение ФСТЭК будет влиять на взыскивание денег с исполнителя.

Мне нравится этот пункт, ФСТЭК готов взять на себя ответственность за результаты работы лицензиата. Похвальная инициатива.

14. В пункте №29 в очередной раз пишут про передачу документов от заказчика исполнителю. Непонятная избыточность.

15. Пункт №32. «В случае выявления по результатам проведенной оценки несоответствий представленных материалов требованиям настоящего Порядка, а также требованиям по защите информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных несоответствий и рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации. «. Направил и что дальше? Кто и в какие сроки должен это выполнять? Это обязанность или рекомендации?

16. Пункт № 37. Будет интересно посмотреть как это ФСТЭК в жизнь воплотит «В случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации». А вопрос в другом. Какое отношение этот пункт имеет к Порядку аттестации? Есть ПП676, в котором уже это запрещено и т.д.

ФСТЭК получила полномочия запрещать эксплуатацию ГИС?

17. Пункт № 39. Вывели мы значит ГИС из эксплуатации, регион страдает. А ФСТЭК прописывает себе сроки и никуда не спешит — «в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением». Не государственный подход заложен.

О возобновлении действия аттестата соответствия надо более оперативно сообщать, ГИС простаивает все это время.

18. Приложение № 1. Почему техпаспорт только на ИС/АС, а как же АСУТП, а ИТКС/АСУ?

19. Приложение № 3. Форма аттестации приведена только под ГИС. Нет ни упоминания категории значимости, ни соответствия требованиям безопасности ЗОКИИ. Только класс защищенности и требования по защите информации.

20. Я не увидел упоминания по проверке выполнения приказов ФСБ. Если не брать СКЗИ, то все равно остается реагирование на компьютерные инциденты в ЗОКИИ. Приказ 239 прямо отсылает к нормативке ФСБ.

P.S. Сложилось впечатление, что аттестация ЗОКИИ будет проводится только для ГИС и только на соответствие 17 приказу.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе «ЧаВо по КИИ» на главной странице блога.

** Все новости блога на публичном Telegram-канале t.me/ruporsecurite

Источник: valerykomarov.blogspot.com