m
Подскажите, а есть ли группа в телеграмме относительно сзи от нсд Страж NT? Прошу прощения если не в тему.
Size: a a a
2020 January 30
V
Сзи используются требуемые, автономность не предусмотрена, есть взаимодействие с другими одноклассовыми системами
Обладатель информации решает. Аттестация касается информации ограниченного доступа, обрабатываемой в ис.
AL
У кого нибудь есть полный перечень ОРД в соответствии с которыми в ИС необходимо применять сертифицированные СЗИ
PK
У кого нибудь есть полный перечень ОРД в соответствии с которыми в ИС необходимо применять сертифицированные СЗИ
17-й приказ фстэк, требования к защите гостайны, 330 постановление правительства, 31-дсп приказ фстэк
PK
911н приказ минздрава
С
17 приказ к гт не имеет отношения)
PK
СаняШ
17 приказ к гт не имеет отношения)
Я и не написал, что имеет. Я не знаю какй именно приказ регламентирует защиту ГТ. Допуска нет )))
Н
Я и не написал, что имеет. Я не знаю какй именно приказ регламентирует защиту ГТ. Допуска нет )))
СТР с изменениями и разные методические документы
Н
Сзи используются требуемые, автономность не предусмотрена, есть взаимодействие с другими одноклассовыми системами
Ну вообще тут надо смотреть описание техпроцесса, если у Вас было прописано что эта машина передает какие-либо данные на этот сервер, то да, скорее всего можете работать (вы же не конфи передаёте), а вот если этот сервер не фигурировал при аттестации, то не факт. Но самым логичным Вашим шагом будет написать письмо в организацию, проводившую аттестацию, они Вам ответят влияет ли это на защищённость системы и скажут что в случае этого делать (либо вносить изменения самостоятельно, либо приглашать лицензиата для внесения дополнительных данные в аттестационную документацию)
V
СаняШ
17 приказ к гт не имеет отношения)
Вопрос был не про гт
A
Настасья
Ну вообще тут надо смотреть описание техпроцесса, если у Вас было прописано что эта машина передает какие-либо данные на этот сервер, то да, скорее всего можете работать (вы же не конфи передаёте), а вот если этот сервер не фигурировал при аттестации, то не факт. Но самым логичным Вашим шагом будет написать письмо в организацию, проводившую аттестацию, они Вам ответят влияет ли это на защищённость системы и скажут что в случае этого делать (либо вносить изменения самостоятельно, либо приглашать лицензиата для внесения дополнительных данные в аттестационную документацию)
Спасибо за ответ) я думаю, что если задавать вопрос аттестующей организации, то они должны будут сослаться на какой либо регламентирующий документ, где будет указана потенциальное разрешение/запрет на такого рода поток. В целом вопрос переаттестации не проблема, знать бы заранее что возможно реализовать
Н
Спасибо за ответ) я думаю, что если задавать вопрос аттестующей организации, то они должны будут сослаться на какой либо регламентирующий документ, где будет указана потенциальное разрешение/запрет на такого рода поток. В целом вопрос переаттестации не проблема, знать бы заранее что возможно реализовать
А у Вас аттестация на какие требования? СТР-К или ГИС? Если СТР-К, то можете в нем посмотреть что касается передачи данных, если это ГИС, то тут Вам бы по хорошему посмотреть МУ и может какие-то угрозы в связи с добавлением этого информ.потока станут актуальными, а это пересмотр
V
Настасья
А у Вас аттестация на какие требования? СТР-К или ГИС? Если СТР-К, то можете в нем посмотреть что касается передачи данных, если это ГИС, то тут Вам бы по хорошему посмотреть МУ и может какие-то угрозы в связи с добавлением этого информ.потока станут актуальными, а это пересмотр
Лучше посмотреть документацию на аттестованную ис. Там всё указано )
A
Valentin
Лучше посмотреть документацию на аттестованную ис. Там всё указано )
Интересует перспективная возможность
V
Интересует перспективная возможность
Нет никаких запретов ни в стр-к, ни в 17-м приказе!
A
Valentin
Нет никаких запретов ни в стр-к, ни в 17-м приказе!
Ок, спасибо!
S
Всем доброго вечера. Подскажите, пожалуйста, по следующей ситуации. На предприятии есть две ИС, одна аттестованна по К3, вторая не имеет аттестата. Вопрос следующий, может ли быть информационный поток со стороны аттестованной системы в неаттестованную? Очевидно, что на границе будет стоять МЭ. Если проще говорить, может ли пользователь аттестованной системы записывать файлы на сервера и армы неаттестованной системы? Файлы не содержат конфид, обычная информация. Учитывая что у аттестованной системы класс выше чем у обычной (у неё класса вообще нет)
как будете определять, что передаваемая инф. не является конфиденциальной?
A
как будете определять, что передаваемая инф. не является конфиденциальной?
DLP с блокировкой трафика
V
как будете определять, что передаваемая инф. не является конфиденциальной?
По отсутствию пометки/грифа на документе.
2020 January 31
AK
Valentin
Вопрос был не про гт
А про что был вопрос?
Необходимость применения сертифицированных СКЗИ в абстрактной ИС.
Накидали навскидку - защита ПДн, гостайны, требования ЦБ, защита врачебной тайны, КИИ, отраслевые всякие типа росатома, ну и тому подобное
Необходимость применения сертифицированных СКЗИ в абстрактной ИС.
Накидали навскидку - защита ПДн, гостайны, требования ЦБ, защита врачебной тайны, КИИ, отраслевые всякие типа росатома, ну и тому подобное