А
а в аттестате должны быть перечислены условия, например, типа: "запрещается изменять конфигурацию ... без согласования с органом по аттестации". в этом случае необходимо изменения согласовывать с лиценизатом и ждать чего он скажет
Size: a a a
2019 November 07
SL
см. раздел "Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы" 17 приказа. там по тексту упоминается про "принятие решения ... о повторной аттестации информационной системы или проведении дополнительных аттестационных испытаний"
ну технически раздел уже другой текст содержит
SL
об аттестате на весь срок эксплуатации и вот это вот все
AP
об аттестате на весь срок эксплуатации и вот это вот все
На весь срок - да, но это малореальная ситуация. Обеспечить неизменнось в течение всего срока эксплуатации так себе задача. В противном случае, придется переаттестовывать.
SL
но ФСТЭК не требует неизменности, скорее как раз наоборот - в рамках устранения уязвимостей, обновлений и т.д. конечно с условием выполнения требований по управлению конфигурацией.
AP
но ФСТЭК не требует неизменности, скорее как раз наоборот - в рамках устранения уязвимостей, обновлений и т.д. конечно с условием выполнения требований по управлению конфигурацией.
Неизменности чего? Версии ПО/СЗИ, в рамках официальных обновлений - не требует. Неизменности всего остального требует еще как. Т.е. взять и поменять сервера в аттестованной системе на более новые не выйдет.
SL
Почему не выйдет, если управление конфигурацией это предусматривает?
А
а это должно быть прописано в атттестате ) . если лицензиат напишет, что "нельзя менять ОТСС", то нельзя...
SL
лицензиат имеет право выставлять требования, противоречащие приказу 17?
AP
Скажем так, обосновать замену ОТСС управлением конфигурацией...
А
лицензиат имеет право выставлять требования, противоречащие приказу 17?
п. 18.3 17-го приказа, в чем противоречие?
SL
в том, что программно-аппаратные средства в том числе могут подлежать изменению в процессе изменения конфигурации, как и средства защиты в общем-то - и нет требований по проведению дополнительных аттестационных испытаний или полноценной переаттестации в этом случае. эти вопросы закрываются плановым контролем защищенности.
AP
лицензиат имеет право выставлять требования, противоречащие приказу 17?
Лицензиат ничего не выставляет. Надо смотреть документы по самой аттестации (17 приказ не регламентирует процедуру аттестации).
А
в том, что программно-аппаратные средства в том числе могут подлежать изменению в процессе изменения конфигурации, как и средства защиты в общем-то - и нет требований по проведению дополнительных аттестационных испытаний или полноценной переаттестации в этом случае. эти вопросы закрываются плановым контролем защищенности.
см. последний абзац пункта 18.3. те аттестаты соответствия, что я видел запрещают вносить изменения в ОТСС и СЗИ без согласования с лицензиатом. как это прописано у топикстартера в аттестате я не знаю...
AP
в том, что программно-аппаратные средства в том числе могут подлежать изменению в процессе изменения конфигурации, как и средства защиты в общем-то - и нет требований по проведению дополнительных аттестационных испытаний или полноценной переаттестации в этом случае. эти вопросы закрываются плановым контролем защищенности.
Если следовать Вашей логике, я получаю аттестат на систему, после чего говорю "а вот теперь у меня управление конфигурацией" и меняю вообще все ОТСС на те, которые считаю нужным, так?
SL
это не моя логика, это логика приказа 17 в редакции от 28.05.2019, вступившего в силу.
AP
см. последний абзац пункта 18.3. те аттестаты соответствия, что я видел запрещают вносить изменения в ОТСС и СЗИ без согласования с лицензиатом. как это прописано у топикстартера в аттестате я не знаю...
Запрет вносить изменения без согласования с лицензиатом прописан в документах по аттестации ФСТЭК.
SL
«документы по аттестации ФСТЭК» это госты, они априори имеют меньшую правовую силу, чем приказ профильной службы.
А
это не моя логика, это логика приказа 17 в редакции от 28.05.2019, вступившего в силу.
см. тут форму аттестата https://fstec.ru/component/attachments/download/288 (прил 2). в форме есть пункты 5 (что запрещается) и 9 (о чем необходимо извещать). и надо смотреть аттестат на конкретную ГИС, что там написано
А
без конкретики продолжать спор нет смысла )