А если ГИС - ИСПДн?

в соответствии с пунктом 7 приказа 21 - все равно по 17 приказу

спасибо за идею

В пункте 5 приказа 17 указано, что при обработке в ГИС информации, содержащей ПДн, требования приказа 17 применяются наряду с требованиями ПП 1119. Плюс должны быть выполнены пункты 21 и 27 в части касающейся

ага, а в самом приказе 21 указано, что меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России, то есть в соответствии с приказом № 17

так что приказом 21 нет необходимости руководствоваться

а постановлением само собой нужно, этот документ иерархически выше приказов

Коллеги, доброго дня.
Для использования VipNet client, просят аттестацию объекта не ниже Г1. Подскажите, чем руководствоваться, куда копать?
Уже было получено частное мнение от знакомого по отношению к аттестации, дескать РД гостехкомиссии де-факто не работает в т.ч. потому что, заявки на сертификацию по РД (откуда взят уровень 1Г) не принимаются и сейчас сертификация АС проводится по ГОСТ 15408.
Хочется понять насколько данное частное мнение соответствует действительности и какой вообще алгоритм действий должен быть в данной ситуации?
Заранее благодарю

Кони люди все смешалось. АС не сертифицируются, а аттестовываются. ГОСТ 15408 относится именно к сертификации

Сертифицируются коль скоро мы заговорили о РДэшках: СВТ, МЭ

Смешалось все, т.к. источник уверял, что без сертификации аттестации нихт.
Т.е. сначала сертификация, следом - аттестация.
Поэтому и обратился к комьюнити за разъяснениями 🤷‍♂️
Сам чукча понимать, что вещи разные.

Сертифицируется какой-то продукт: межсетевой экран, антивирус, операционная система и т.д. Аттестация же проводится в отношении всей системы на соответствие определенным документам. Если речь о классе 1Г, то судя по всему аттестация проводится на соответствие РД АС и наверное +ещё СТР-К. В документах на соответствие которым проводится аттестация написано какие требования предъявляются к средствам защиты информации, в том числе какие они должны иметь сертификаты

А вправе или не вправе вам предъявлять какие-то требования - это уже вопрос больше к юристам. В зависимости от того к какой системе вы пытаетесь подключиться - ГИС, КИИ, какая-то коммерческая и т.д.

Большое спасибо за ответ.
Т.е., я правильно понимаю, что сторона, требующая аттестацию, должна внятно объяснить какую именно и на основании каких требований?
Потому что мадам, сидящая на том конце провода, кроме слова аттестация, ничего внятного сказать не смогла 🤷‍♂️

Скорее любое значимое взаимодействие между контрагентами должно всё-таки происходить на бумаге. Вы сейчас аттестуете систему, потратите средства, а вам скажут, что вы не по тем требованиям аттестовалт

Будете с этой мадам потраченные средства требовать?)

Ход мысли понятен, ещё раз благодарю за направление в правильное русло 😌

Запросите документ (требования) по которым нужно аттестовываться. Пусть пришлют официально

Это весомые материальные затраты Ввиду этого резонно запросить официальное подтверждение требований по защите информации в рамках которых необходима именно аттестация АРМ с клиентом vipnet

Коллеги, кто-то занимался оценкой влияния при работе криптопро csp с самописным по?