19 сентября, среда 02:41
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

аттестация помещений

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • аттестация помещений

    Может кто знает. Если выделенное(защищаемое) помещение Банка аттестовано по уровню "гостайна", то обязательно ли его аттестовывать по уровню "конфиденциальная информация" (банковская и коммерческая тайна)? На какой нормативный документ ссылаться при ответе на этот вопрос?

  • #2
    Инструкция по ПДИТР, разработанная вашим первым отделом. В отделе также есть мануал по обработке гостайны и специальные требования. Все три документа секретные, я не помню, оговаривается ли там этот вопрос.

    Если в соответствии с одним из этих документов доступ в эти помещения разрешен только сотрудникам с допуском, у вас возникают чисто практические проблемы. А так работает мандатный доступ - разрешено обрабатывать информацию с грифом не выше заданного.

    Комментарий


    • #3
      Я забыл уточнить, в Банк с гостайной не работает - только с конфиденциалкой, просто помещение аттестовали по гостайне.

      Комментарий


      • #4
        Для работы с конфиденциальной информацией аттестация помещений не требуется. Ссылку на нормативный документ не дам, потому что нет ни одного документа, который бы требовал аттестации

        Лучше считайте, что помещение уже никак не аттестовано. Для того, чтобы аттестация на гостайну оставалась в силе, нужно, чтобы было выполнено несколько обязательных условий. В вашем случае они не выполнены.

        Комментарий


        • #5
          аттестация помещений
          Может кто знает. Если выделенное(защищаемое) помещение Банка аттестовано по уровню "гостайна", то обязательно ли его аттестовывать по уровню "конфиденциальная информация" (банковская и коммерческая тайна)? На какой нормативный документ ссылаться при ответе на этот вопрос?


          vhod Четкого ответа на данный вопрос нет, лично мое мнение такое, обсуждать и не боятся , а когда закончится срок действия аттестата на ВП, аттестовать помещение по конфиденциалке. Другого, приемлимого выхода не вижу.

          Комментарий


          • #6
            malotavr
            Для работы с конфиденциальной информацией аттестация помещений не требуется. Ссылку на нормативный документ не дам, потому что нет ни одного документа, который бы требовал аттестации

            Уау!!! Вот это да! malotavr Вы батенька загнули. Есть такой документ, как Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии Рос-сии от 30 августа 2002 года № 282, так вот в пункте 3.19 четко прописано про аттестацию защищаемых помещений.

            Комментарий


            • #7
              Сообщение от Xuanxe
              Есть такой документ, как Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии Рос-сии от 30 августа 2002 года № 282, так вот в пункте 3.19 четко прописано про аттестацию защищаемых помещений.
              Я сейчас еще сильнее загну - нет такого документа

              Каждый орган исполнительной власти имеет право выпускать нормативные правовые акты. Эти НПА делятся на три категории:
              • НПА, обязательные для всех
              • НПА, обязательные для отдельных категорий граждан/организаций
              • НПА исключительно внутреннего потребления


              НПА первой категории должны пройти экспертизу МинЮста и подлежат обязательному опубликованию. И они никоим образом не могут быть грифованными (даже ДСП, как в случае СТР-К). Поэтому, если вы не лицензиат ФСТЭК, вы можете считать, что такого документа не существует в природе

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                НПА первой категории должны пройти экспертизу МинЮста и подлежат обязательному опубликованию. И они никоим образом не могут быть грифованными (даже ДСП, как в случае СТР-К). Поэтому, если вы не лицензиат ФСТЭК, вы можете считать, что такого документа не существует в природе
                есть рекомендации, полученные от парней, дык вот в них рекомендуется произвести аттестацию СРЕДСТВ ОБРАБОТКИ ИНФОРМАЦИИ, в составе которых осуществляется функционирование СКЗИ. к сожалению, нарыть пока эти спец. требования....бла бла бла, не удалось , но в них это должно быть описато, лицензиатами ФСТЭК мы не являемся, но лицензии по криптухе имеем! - можно забить на это? (и все-таки может сцылой поделитесь на эти требования,плизз)

                Комментарий


                • #9
                  xell произвести аттестацию СРЕДСТВ ОБРАБОТКИ ИНФОРМАЦИИ

                  Правильно. Разработчик СКЗИ самого по себе и разработчик системы документооборота сам по себе должны были снабдить Вас эксплуатационно-технической документацией. Которую Вы обязаны были прочесть, и безусловно выполнить в ней содержащиеся требования. Уверяю Вас, эти требования соответствуют упомянутой СТР-К и скорее всего прямо оттуда и списаны.

                  Теперь Вы приглашаете аттестатора (список на сайте ФСТЭК), аттестатор требования читал. Он смотрит на Ваши средства, проверяет, как они установлены, чешет в затылке и пишет акт аттестации средства информатизации. Теоретически это происходит так.

                  Практически, аттестатор, конечно, пересказывает Вам часть пропущенных Вами при установке требований своими словами, Вы их выполняете и после того он с чистой совестью пишет упомянутый акт.
                  /kiv

                  Комментарий


                  • #10
                    [QUOTE=Илюха;2376168
                    Правильно. Разработчик СКЗИ самого по себе и разработчик системы документооборота сам по себе должны были снабдить Вас эксплуатационно-технической документацией. Которую Вы обязаны были прочесть, и безусловно выполнить в ней содержащиеся требования. Уверяю Вас, эти требования соответствуют упомянутой СТР-К и скорее всего прямо оттуда и списаны.
                    [/QUOTE]

                    понимаешь в чем хрень - НЕТ ТАМ ТАКИХ ТРЕБОВАНИЙ, ни у разработчега ПБЗИ ни у разработчега Сисеты Банк-клиент.
                    если бы они там были вопрософф нет. а их нет. честно говоря у разработчега пбзи - ваааще документация смешная, как в 1 классе

                    Комментарий


                    • #11
                      Сообщение от xell Посмотреть сообщение
                      есть рекомендации, полученные от парней, дык вот в них рекомендуется произвести аттестацию СРЕДСТВ ОБРАБОТКИ ИНФОРМАЦИИ, в составе которых осуществляется функционирование СКЗИ. к сожалению, нарыть пока эти спец. требования....бла бла бла, не удалось , но в них это должно быть описато, лицензиатами ФСТЭК мы не являемся, но лицензии по криптухе имеем! - можно забить на это? (и все-таки может сцылой поделитесь на эти
                      требования,плизз)
                      Есть такое требование в ФСБшных положениях о лицензировании, так чторекомендацию стоит выполнить.

                      Комментарий


                      • #12
                        malotavr Ссылку на нормативный документ не дам, потому что нет ни одного документа, который бы требовал аттестации

                        Помимо спорного СТР-К, есть еще спорные ПДн.

                        Комментарий


                        • #13
                          vhod
                          по сабжу: раз помещение аттестовано под ГТ - то можно спокойно обсужать в нем КТ (БТ).
                          Причина - требования к помещениям по ГТ перекрывают аналогичные требования по КТ.
                          Если кто будет докапываться - пусть сравнивают требования в СТР и СТР-К.

                          malotavr А так работает мандатный доступ - разрешено обрабатывать информацию с грифом не выше заданного.
                          о том и речь.
                          кстати, чтобы избежать накладок с доступом в помещение, в инструкцию по допуску можно внести небольшие изменения.

                          Комментарий


                          • #14
                            Столкнулся с необходимостью получения лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации. Одним из требований является получение аттестата соответствия защищаемых помещений требованиям безопасности информации. Прошу помочь сформулировать список нормативных документов, которые регламентируют требования к помещениям, их классификацию, требования к средствам защиты, нормативным документам и тд

                            Комментарий


                            • #15
                              Сообщение от Simonchik Посмотреть сообщение
                              Прошу помочь сформулировать список нормативных документов, которые регламентируют требования к помещениям, их классификацию, требования к средствам защиты, нормативным документам и тд
                              Если аттестовать пустую переговорную:
                              - Концепция ИБ
                              - Положение о КТ (или другой конфиденциалке)
                              - Положение о СИБ (функциональные обязанности)
                              - Регламент проведения переговоров по конфиденциальным вопросам
                              - Аттестат и Паспорт на выделенное помещение (соответственно лицензиат подскажет, что Вам еще по нему сделать и написать, когда будете аттестовывать)
                              - Комплект документов на лицензирование

                              Комментарий


                              • #16
                                Одним из требований является получение аттестата соответствия защищаемых помещений требованиям безопасности информации. Прошу помочь сформулировать список нормативных документов, которые регламентируют требования к помещениям, их классификацию, требования к средствам защиты, нормативным документам и тд
                                Судя по данному заявлению лицензируетесь у ФСТЭК Вы впервые

                                На самом деле аттестация ЗП (защищаемого помещения) увы не главное.

                                Общий порядок лицензирования следующий:
                                1. Выполнение лицензионных требований. Здесь нужно решить четыре задачи:
                                • наличие соответствующей нормативной базы (законы РФ, постановления Правительства, указы Президента, внутренние документы ФСТЭК - типа СТР-К и тд, регламенты и ГОСТы). Полный список можно получить во ФСТЭК (или ознакомиться на сайте).
                                • наличие аттестованных ЗП (защищаемого помещения) и АРМ - для обсуждения и обработки конфиденциальной информации соответственно.
                                • наличие соответствующего контрольно-измерительного оборудования (КИО). С перечнем также можно ознакомиться во ФСТЭК.
                                • наличие квалифицированного персонала. Чем больше, тем лучше.


                                2. Способы решения:
                                • делаете все сами: скупаете/скачиваете нормативные документы, покупаете КИО, нанимаете специалистов. Временные затраты от полугода до бесконечности. Финансовые затраты от 0,5 миллиона руб. - если скупать КИО исключительно бу. При этом все равно придется тратиться на аттестацию ЗП и АРМ - на этов лучшем случае уцдет около 100 тыс. руб (в составе уже этих полмиллиона). На практике затраты составляли от 1,5 млн руб.
                                • 2-й вариант: что-то покупаете, что-то берете в аренду. Наиболее распространенный путь. Ищите по округе другие организации у которых есть например необходимая нормативная литература - заключаете договор на аренду. Ищите у кого есть КИО - заключаете договор аренды. Нашли специалиста (они как правило уже при работе) - пытаетесь сманить или заключате договор на оказание услуг. При этом по возможности стоит все равно прикупать и то и другое и третье. Временные затраты - тоже не малые, тем более что далеко не все "контрагенты" радостно идут на арендные взаимоотношения. Финансовая сторона тоже сомнительна. Аттестованые ЗП и АРМ тоже можно арендовать.
                                • 3-й вариант: привлекаете специализированную организацию (лицензиата ФСТЭК). Здесь обычно ищется грамотная контора, орган по аттестации, которые радостно за нн-ую сумму денег проведут так называемые "подготовительные работы": продадут "почти даром" необходимую литературу, также "почти даром" продадут свое списанное, еле живое КИО, аттестуют ЗП и АРМ, может быть помогут с сотрудниками (естесственно временно). По времени наиболее быстрый вариант. По финансам от 0,5 млн рублей. (очень древние расценки, которые мне известны сейчас сумма должна быть явно повыше).


                                3. Перпективы получения лицензий.
                                • по 1-му варианту: очень высокие. ФСТЭК высоко оценивает затраты на качественную подготовку и выполнение лицензионных требований. Наиболее затратный путь.
                                • 2-й вариант. Проверка будет очень жесткая. Халявщиков не любит никто, ФСТЭК в том числе. Такой вариант приемлим если есть неплохие связи там и лицензия нужна постольку поскольку.
                                • 3-й вариант. Как повезет. По стоимости будет примерно как первый вариант, экономится по сути только время. Если орган по аттестации (который вам это все делает) именитый, то со ФСТЭКом проблем тоже обычно нет, лицензии с большей вероятностью будут получены.

                                Вобщем примерно так. На моей памяти лицензировались две разные организации, каждая впервые в своей жизни, так что было на что посмотреть
                                в обоих случаях мне повезло, был просто статистом
                                Да пребудет с тобой Сила!

                                Комментарий


                                • #17
                                  Спасибо за ответы.
                                  По ценам на сегодняшний день:
                                  Аттестация АРМ (АС) ~ 60 тыс. руб
                                  Подготавливать к аттестации планирую самостоятельно.
                                  Аттестация ЗП ~ 60 тыс. руб
                                  Планирую взять ЗП в аренду (может кто-нибудь подскажет где?).
                                  КИО
                                  Планирую взять в аренду (~ 30 тыс. руб).

                                  Исходя из вашей градации, попадаю на "жесткую проверку". В чем будет заключаться эта "жесткость"?
                                  Согласно Административному регламенту ФСТЭК по исполнению государственной функции по лицензированию деятельности П.13.2 "Проверка возможности выполнения соискателем лицензии лицензионных требований и условий проводится путем анализа содержания представленных документов и их соответствия требованиям норм. и методических документов по ТСЗИ"

                                  Чтобы подготовить ЗП к аттестации, какие ГОСТы нужно почитать? Или в комплекте нормативной базы, которую подготовлю для это все будет?

                                  Комментарий


                                  • #18
                                    Сообщение от Simonchik Посмотреть сообщение
                                    С
                                    Планирую взять ЗП в аренду (может кто-нибудь подскажет где?).
                                    КИО
                                    Планирую взять в аренду (~ 30 тыс. руб).
                                    Да не надо это. Мой знакомый сделал просто - взял кабинет, где сидел его начальник службы безопасности, и аттестовал его ;-)
                                    Поставили там те же аттестаторы глушилки на окна, двери и батареи отопления - и все.

                                    По поводу КИО ему тоже повезло, так как его контора делает софт, а производство прикладных программных средств не подпадает под действие Закона "Об обеспечении единства измерений". ;-) И средства измерений при производстве прикладных программных средств не используются.

                                    Кроме того, в пояснительной записке к заявке на получение лицензии он написал " ... не планирует оказание услуг по технической защите конфиденциальной информации в части проведения контроля защищенности помещений и автоматизированных систем от утечки информации по акустическому, выброакустическому каналам и каналу ПЭМИН. " ;-)

                                    Его начальник посчитал, что дешевле под такие проверки нанимать конторы, которые этим профессионально занимаются.

                                    Комментарий


                                    • #19
                                      Сообщение от vhod Посмотреть сообщение
                                      Может кто знает. Если выделенное(защищаемое) помещение Банка аттестовано по уровню "гостайна", то обязательно ли его аттестовывать по уровню "конфиденциальная информация" (банковская и коммерческая тайна)? На какой нормативный документ ссылаться при ответе на этот вопрос?
                                      Нет. Есть документ спец требования и рекомендации, которые д.б. у организации, проводившей аттестацию, но ссылаться не стоит, так как документ грифованный.
                                      В аттестате д.б формулировка "до такого то грифа ГТ" включительно, и сюда попадет и конф, и простые переговоры. Предложите аттестационной организации включить в аттестат фразу про КТ в явном виде - никаких сложностей и доп проверок быть не должно

                                      Комментарий


                                      • #20
                                        в Указе Президента РФ от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" указано,что ...
                                        г) размещение технических средств, подключаемых к информационно-телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях.
                                        Что за сертификат имется ввиду ?

                                        Комментарий


                                        • #21
                                          Вероятно, имеется в виду сертификат, подтверждающий что данное техническое средство не создает каналов утечки.. В любом случае, такие помещения должны проходить аттестацию, в и для успешного ее прохождения должны быть использованы сертифицированные СЗИ. Но вообще не стоит ждать развернутых комментариев в форумах по защите ГТ. Все сказанное мною основано на выводах из открытых источников

                                          Комментарий


                                          • #22
                                            Сообщение от Mantr Посмотреть сообщение
                                            Вероятно, имеется в виду сертификат, подтверждающий что данное техническое средство не создает каналов утечки
                                            Для этого существуют СИ и СП, а не сертификация. И потом, чей сертификат ФСТЭК или ФСБ ?
                                            Получается, что обычный телефон, должен иметь сертификат, только на что ?

                                            Комментарий


                                            • #23
                                              он может иметь сертификат "выполнен в защищенном исполнении и может быть использован в .... категории".
                                              Если его нет - то СП, СИ + сертифицированные СЗИ

                                              Сертификат ФСТЭК конечно же

                                              Комментарий


                                              • #24
                                                Сообщение от Mantr Посмотреть сообщение
                                                Сертификат ФСТЭК конечно же
                                                А почему не другого какого-нибудь органа ?

                                                Я так порылся упорно и откопал целую тему
                                                http://www.egovernment.ru/forum.php?sub=3460&from=-1

                                                Комментарий


                                                • #25
                                                  Органы то есть) как всегда, в изобилии. Просто защита тех. каналов, коим и является втсс - прерогатива ФСТЭК.

                                                  И сертификата ССС или электробезопасности, как предлагает Петр в одном из постов, будет не достаточно, на что вам сразу укажут при аттестации. И еще раз - не дело обсуждать такие темы в форуме. Есть документы, с ограниченным доступом, они раскрывают объем и состав проводимых мероприятий. Предлагаю считать вопрос закрытым

                                                  Комментарий


                                                  • #26
                                                    Полезно пишите) Спасибо вам.
                                                    На самом деле вообще бред, вроде и помещение атестовать надо, но при этом и документы использовать не можешь (СТР-К к примеру, да вообще любою ДСП) в результате чего приходится платить за атестацию, ибо самому просто времени нет разбираться.
                                                    К примеру у меня вышло, провести подготовку к самой атестации, с подготовкой всего комплекта документов 16500р. Вот тут они располагаются http://all-ib.ru, может кому поможет)

                                                    Комментарий

                                                    Пользователи, просматривающие эту тему

                                                    Свернуть

                                                    Присутствует 1. Участников: 0, гостей: 1.

                                                    Обработка...
                                                    X