Комментарии 19
Я прекрасно понимаю на какие ГОСТ вы ссылаетесь, а вот писать их полное название в силу ограничительной пометки на этих документах, я бы не стал )))
Заказчик тоже может так же обратиться во ФСТЭК, если аргументы лицензиата будут так себе.
"Технический паспорт" в такой формулировке, как документ фикструющий некие ключевые параметры ГИС имеет место быть, но этими параметрами далеко не обязательно должны быть перечень железа с серийными номерами. Мы все таки защищаем информацию и пытаемся фиксировать состояние и параметры системы с точки зрения обработки информации ибо если заменить один арм на другой, но выполняющий точно такие же функции, то это ни как не отразится на ГИС. А вот если появится новый процесс обработки информации, новый сегмент, то это уже совсем другая история.
С заменой компьютера вы не правы. Если вы замените компьютер с последними обновлениями ОС и СЗИ на компьютер с критичными уязвимости и без антивируса, то это серьезно повлияет на безопасность информации. Система защищена настолько насколько защищен самый слабый ее узел. Плюс если администраторы ГИС не знают, что у них в системе творится это тоже тревожный звоночек. Ну и в упомянутом ГОСТ есть форма аттестата, приложением к которому по сути является техпаспорт. ФСТЭК говорит, что эта часть аттестата обязательна. Такие дела.
А можете привести пример такого техпаспорта на типовой сегмент? Что он все же в себя включает?
1. Наименование объекта
2. Расположение объекта
3. Классификация объекта
4. Сведения о вводе объекта в эксплуатацию
5. Состав технических средств
6. Состав программного обеспечения
7. Состав средств защиты информации
8. Схемы расположения технических средств относительно границ контролируемой зоны.
1. Определение, относится ли Ваша организация к субъектам КИИ (попадает ли под определение из 187 ФЗ);
2. В случае если попадает, то утверждается Приказ о создании комиссии по категорированию (состав и рекомендации по данному вопросу вынесены в п.11 и подпунктах к нему в ПП № 127);
3. Комиссия определяет перечень объектов КИИ, которые принадлежат Вашей организации и утверждает его (рекомендованная форма утверждения представлена в Информационном сообщении ФСТЭК № 240/25/3752 от 24 августа 2018 г);
После утверждения данный перечень в течении 10 рабочих дней должен быть направлен на согласование во ФСТЭК в печатном и электронном виде (п. 15 ПП № 127);
4. Далее комиссия формирует Акт категорирования (форма представлена в Приказе ФСТЭК России № 236 от 22 декабря 2017). Акт возможен как для каждого объекта отдельно, так и единый (с правками, которые были внесены ПП № 452).
Данный акт также необходимо отправить в течении 10 рабочих дней на согласование во ФСТЭК с момента его утверждения.
5. Дальнейшие работы по созданию системы защиты, приемочным испытаниям и прочим действиям, предусмотренным Приказом ФСТЭК России № 239 от 25 декабря 2017 года, необходимо будет проводить исходя из определенной комиссией категорией значимости.
Собственно, временной промежуток между утверждением перечня объектов и утверждением акта(ов) категорирования не указан, но из ПП № 452 можно сделать вывод, что данные работы должны быть проведены не позднее (как Вы писали выше) 01 сентября этого года, иначе могут последовать предписания и наказания за невыполнение.
Касательно наказаний по КИИ актуальны пока 2 варианта:
1. Статья 19.4 КоАП РФ — «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль», в случае если Вам ФСТЭК выписал предписание, а Вы его не выполнили;
2. Статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», но данная статья больше подходит именно для нарушителей, которые пытаются как-то взломать или нанести вред значимому объекту КИИ.
На данный момент также рассматривается проект внесения изменений в КоАП касательно объектов КИИ, ознакомится можно по ссылке: regulation.gov.ru/projects?fbclid=IwAR14PGFrJOD8I4agi2sUC976AsII_VAqsE8yZxkHTJvmy5cJxppbq5kYEbw#npa=89944
P.S.: на семинаре представители регулятора предупреждали.
Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность