Да, интересно по каким требованиям то в итоге аттестовано? Вообще я в разговоре с представителями фстэк выяснил, что можно вместо СТР-К использовать 17 приказ ФСТЭК для гис. В самом 17 есть упоминание, что меры приказа могут использоваться не только для гис. А в методике к 17 приказу приведена вполне понятная модель категорирования, которую можно натянуть на категорирование конфиденциальной информации. Единственный минус 17ого - это использование строго сертифицированных сзи. С другой стороны вообще не понимаю как по стр-к чтото делать, если то что описанно там не в полной мере актуально на сегодняшний день.

Вот и у меня вопрос, что это не актуально, а аттестующий орган берет это за базу

К примеру по ней легко аттестовывают ПЭВМ на обработку Конфи

Вот видите, я не знаток, думаю, что не актуально. А специалисты говорят, что можно.

Да можно, конечно, натянуть сову на глобус. Можно в принципе что угодно) можно и пэмин делать для конфы и испдн, знаю даже таких ребят. Но я пошёл по пути всё-таки наиболее актуальных приказов и мер)

А, ну кстати, в последнем совещании фстэк они сообщали что из списка обязательных документов для лицензиатов удалили РД. Я правда краем уха это услышал когда проснулся и точно не понял какой РД. Потому что сказали вроде от 1999 года. Так он то основной от 1992

Не этот ли: "РД. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 04.06.1999 № 114" ?

Насколько я понимаю, аттестовать ИС без сертифицированных СЗИ в принципе невозможно. Т.е. это как бы фича самой процедуры, а не 17 приказа.

а фича 17 приказа - можно обосновать отсутствие сзи :)

При организации защиты по 21 приказу этим часто злоупотребляют, с 17 приказом для госов сложнее, т.к. их проверить могут ...

Да, все верно. Без сертификата и соответствующих требований - оценка соответствия

Да, этот от 1999 а самый первый был от 1992.

Добрый день, коллеги. Кто-нибудь заключает с сотрудниками соглашение о признании простой электронной подписи идентичной собственноручной? Поделитесь пожалуйста шаблоном?

63-ФЗ ва не устраивает?

Или вы в другой юрисдикции

На основании 63-ФЗ хотим сделать соглашение, в котором прописано что именно считается простой ЭП. В частности интересует аутентификация в домене и придание юридической значимости логам.

А вас не смущает что администратор домена имеет полный доступ к простым ЭП в вашем контексте? Вы хотите сделать домен системой юридически значимого документооборота, хм, как? Сотрудник входит в домен по сертификату ? В этом соглашении будет прописано что сотрудник доверяет лицу с указанием его ф.и.о.который занимается администрированием домена? если нет - то почему? Логи будут подписываться ЭП администратора ?
Иными словами отходить от классических моделей политик, которые определяют права, обязанности и контроль работы администраторов, пользователей, и безопасников наверное рано.

Строго говоря, логи можно подделать, безотносительно 63-ФЗ.
+ на вас ещё телегу могут написать, что вы не защищаете логи и АД по 152-ФЗ (хотя, это могут написать в любом случае...))

+

Спасибо за ответы! Вы правы, администратор при этом особо доверенное лицо, что юридически необъяснимо)