Comments 8
режет глаза "Гостехкомиссия России", её уже реорганизовали лет 20 назад. Статья написана под коммерческие организации, а аттестовать чаще приходится государственным, и там вступает в силу ужасный и могучий 44-ФЗ((
Спасибо за комментарий, действительно вместо гостехкомиссии нынче ФСТЭК.
По поводу 44-ФЗ — не видим указанной вами информации. Можете назвать пункты или статьи в 44-ФЗ, регулирующие аттестацию? Будем благодарны.
Конечно, сам ФЗ никак не регулирует аттестацию. В вашей статье идет описание как правильно выбрать "Аттестатора" (кстати кто-нибудь так говорит? вообще он "аттестующий орган"), а государственные учреждения при аттестации систем не имеют этого выбора, так как всё идет через торги/аукционы... кто скинул ниже цену - тот и вышел на подряд(
Смешались кони люди.
Как правило, в аттестацию входят следующие виды работ:
Обследование объекта информатизации;
Разработка организационно-распорядительной документации (ОРД);
Установка и настройка СЗИ;
Согласование программы и методик аттестационных испытаний;
Проведение аттестационных испытаний;
Выдача аттестата соответствия и отправка документов в ФСТЭК.
Это не аттестация. Аттестация это только 4-6 пункт. Формально у владельца объекта (Заказчика) уже должно быть готово все к аттестации, cпроектирована система защиты, закуплены/установленны/настроены все необходимые средства защиты, разработанны все необходимые ОРД в том числе модель узгоз и т.д. При чем если Вы уж ссылаетесь на 77 приказ ФСТЭК, то там прописанно, что необходимо предоставить исполнителю (Аттестатору) для проведения работ по аттестации (раздел III пункт 11). И вся аттестация по сути сводиться к проверке выполнения тех или иных требований к ГИС/ИСПДН/КИИ и т.д.
По этому считаю заголовок кликбейтным, а суть статьи не верной и вводящей в заблуждение. К примеру возьмем 17 приказ ФСТЭК (Требования к ГИС) там четко прописанны мероприятия которые необходимо выполнить для обеспечения защиты (пункт 13):
формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной
информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Как вы видите аттестация это только один пункт и тот не весь, который регулируется 77 приказом ФСТЭК. В догонку в том же 17 приказе есть такая формулировка:
Проведение аттестационных испытаний информационной системы должностными лицами (работниками), осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.
Тиким образом физически должны быть разные люди кто внедряет/проектирует и аттестовывает.
Подводя итог, если Заказчик хочет аттестацию он должен понимать что он хочет. А вариант, которых кстати 80-90% из общего числа, когда нам надо аттестацию на систему в которой ничего нет, сама аттестация занимает 10-15% времени и сил.
Добрый день! Благодарим за комментарий.
Действительно, по закону (17 и 77 приказы ФСТЭК) АТТЕСТАЦИЯ (процесс аттестации) включает только несколько пунктов из перечисленных мною видов работ (последние 3–4 пункта), однако в реальности все иначе, большинство клиентов не способны самостоятельно осуществить виды работ, указанные в 1–3 пунктах.
Тогда, как правило, заключается ДОГОВОР с органом по аттестации на АТТЕСТАЦИЮ, в который входят виды работ из пунктов 1–3, и этот случай работает как для коммерции, так и для ГИСов.
Что получается? -Из контекста законодательства здесь есть расхождение в виде «лишних» работ, но из контекста реальной жизни здесь все верно. А если «формально» подходить к такому важному и необходимому моменту, как обеспечение защиты информации на ОИ, включая Аттестацию ИС, то негативный конечный результат не заставит Вас долго ждать.
Мы постарались передать суть дела, показывая реальный, а не теоретический путь Аттестации компаний.
Тогда и называйте все своими именами не вводите людей в заблуждение: "Подводные камни при работе с исполнителем во время обеспечение защиты информации на объекте информатизации, включая Аттестацию ОИ"
Ни кто не мешает заказчику разбить все по этапам. Спроектировать, закупить, внедрить, провести тестувую эксплуатацию и только в конце провести Аттестацию. Но не редко так и бывает, а иначе получается такой вот казус, что в одном договоре сразу прописанны и обследование и проектирование и конкретная закупка и внедрение и аттестация. От куда возникает вопрос зачем вам обследование и проект если вы уже в контракте прописали что будете закупать.
Тогда, как правило, заключается ДОГОВОР с органом по аттестации на АТТЕСТАЦИЮ, в который входят виды работ из пунктов 1–3, и этот случай работает как для коммерции, так и для ГИСов.
Получается или Вы вангуете что закупать заказчику, или прорабатываете проект с заказчиком до заключение договора. И наче незная какой клас и какие СЗИ нужны, как вы всписываетесь в конкретную цену контракта?
Если вы не ванги, то получается что вы за ранее обрабатываете заказчика по поводу смет и цен, а значит защищаете контракт готовя его под себя. Тогда зачем эта статья про выбор Аттестующей организации раз все уже решенно?
Мы как раз и назвали вещи своими именами. Вы немножко додумываете за нас, а потом приводите свои аргументы.
Предлагаем поступить так: через пару месяцев мы планировали провести вебинар как раз по теме аттестации. Вы можете прийти и напрямую задать вопросы, выразить несогласие с какими-то нашими действиями. Если вам это интересно, напишите. Вышлем приглашение в личку, когда определимся с датами.
Подводные камни при работе с исполнителем во время аттестации объекта информатизации