Образовательный форум по автоматизации и взаимодействии с федеральными системами
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Online Ludmila Tihonova  
#21 Оставлено : 16 марта 2021 г. 15:41:06(UTC)
Ludmila Tihonova

Статус: Advanced Member

Группы: Registered
Зарегистрирован: 29.07.2018(UTC)
Сообщений: 534

Сказал(а) «Спасибо»: 34 раз
Поблагодарили: 28 раз в 27 постах
Вопрос от вуза:
В требованиях по подключению к суперсервису:

«провести оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в отношении принадлежащей организации информационной системы персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и приказом ФСТЭК России от 18 февраля 2013 г. № 21»


Что означает данный пункт?

Ответ от ЦИТИС:
Передаваемые в Сервис приема сведения содержат, в том числе, персональные данные. В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, производящие их обработку, являются операторами (персональных данных), а ИС, производящие обработку персональных данных – ИСПДн. ИС и АРМ ООВО подключенные к Сервису приема представляют собой составную часть ИСПДн Вашей организации.
В соответствии с требованиями ст. 18.1 Федерального закона 152-ФЗ оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом и принятыми в соответствии с ним нормативными правовыми актами.
На основании пункта 6 части 1 приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ИСПДн должны пройти оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
Такая оценка эффективности проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Online Ludmila Tihonova  
#22 Оставлено : 16 мая 2021 г. 9:57:09(UTC)
Ludmila Tihonova

Статус: Advanced Member

Группы: Registered
Зарегистрирован: 29.07.2018(UTC)
Сообщений: 534

Сказал(а) «Спасибо»: 34 раз
Поблагодарили: 28 раз в 27 постах
Интересный диалог коллег по вопросу необходимости аттестации рабочего места:

Василий:
Получили ключи. Можем ли мы подтвердить подключение без аттестованного ПК? Специалист все никак не может до нас доехать.


Павел:
Установите vipnet client с дистрибутива или скачайте его с сайта Инфотекс, установите полученный файл ПКИ. Работы на полчаса. Увидите в клиенте, что координатор доступен - звоните в ЦИТИС, чтобы подтвердить, что они вас видят.
Аттестовать компьютер вам никто сейчас не сможет, т.к. у випнет клиента по прежнему нет сертификата соответствия ФСБ на использование его в качестве средства криптографической защиты.

Сергей:
Аттестация при подключении к 13833 не требуется вовсе, это несколько раз говорилось в онлайн совещаниях. Также нет требований на сайте цитис.


Павел:
Не путайте требования ЦИТиС и требования законодательства РФ. Когда придут к вам проверять соблюдение законодательства в своей компетенции, на ЦИТиС вы сослаться не сможете.
И независимо от проведения процедуры оценки соответствия или аттестации передавать в сети общего пользования персональные данные вы можете только с использованием сертифицированных средств криптографической защиты.
Кстати, погружался в этот вопрос, нужна ли все же аттестация или нет. Фактически это зависит о того, является ли информационная система государственной (ГИС) или нет. Определение ГИС дано в законе 149-ФЗ "ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХИ О ЗАЩИТЕ ИНФОРМАЦИИ" в статье 14. И по всему выходит, что любая информационная система, которую мы создаем для реализации полномочий государственных органов, является ГИС. Так что и аттестация наших информационных систем выглядит вполне обязательной.

Сергей:
Требования цитис не должны противоречить или нарушать законодательство.


Павел:
А они и не противоречат. Это обязанность каждой отдельной организации соблюдать законодательство. В требованиях ЦИТиСа не указано "не убий, не укради", это же не значит, что вам это теперь разрешено. Просто ЦИТиС не имеет права брать на себя полномочия регулирующего органа, чтобы контролировать исполнение вами законодательства.

Н.:
А нам Русь-Телеком проводили аттестацию рабочего места для Суперсервиса. И для ФРДО/ФИС ГИА тоже, кстати.


Павел:
Может быть, вы успели сделать это все до 28.02.2021?
Посмотрите, какой сертификат у вас на криптографию. Либо никакого, либо этот истекший:

Sertifikat sootvetstvija.jpg (143kb) загружен 2 раз(а).

Н.:
Фрдо/фис каждый год переаттестовываем, последний раз это было до февраля, да. А вот Суперсервис - нам от них КП пришло только в середине февраля, а ПО от Инфотекс мы ждали вообще до конца марта. Так что с Суперсервисом не знаю, как они Випнет аттестовывали с истекшим (они про это просто не говорили, зато условием была Вин 8.1, потому что как раз 10-ка, по их словам, не сертифицирована фсб/фстэк), но документацию разработали и как бы всё аттестовано.


Павел:
Каждый год тоже круто, аттестат обычно на 3 года выписывают.
К сожалению, наличие этого аттестата не имеет никакого значения, если хотя бы у одного из используемых СЗИ истек сертификат соответствия по необходимому фунционалу (криптография, МСЭ, НСД, ОВ и т.д.). Если сертификат истек и не продляется, формально использовать это СЗИ нельзя

Н.: Ну, может быть, Инфотекс получит вскоре новый
Павел: Получит, конечно. Вопрос времени


Владимир:
Про программный координатор они сказали, что обновлять сертификат не будут и теперь для аттестации нужно покупать хардварное решение, а это уже совсем другие деньги.
Плюсом к координатору hw ещё нужно купить расширенную годовую поддержку.
Online Ludmila Tihonova  
#23 Оставлено : 16 мая 2021 г. 9:58:12(UTC)
Ludmila Tihonova

Статус: Advanced Member

Группы: Registered
Зарегистрирован: 29.07.2018(UTC)
Сообщений: 534

Сказал(а) «Спасибо»: 34 раз
Поблагодарили: 28 раз в 27 постах
Продолжение диалога:

Катерина:
Павел, давайте не будем вводить никого в заблуждение. У ИнфоТеКС есть все актуальные сертификаты. Вы можете с ними ознакомиться на их сайте в разделе Сертификаты и патенты https://infotecs.ru/prod...vipnet-client-.html#soft или на сайте ФСБ в реестре.


Павел:
При всем моем уважении - если хотите поспорить с этим утверждением, необходимо глубже погрузиться в вопрос. Конкретно по вашей ссылке - До 28.02.2021 года, вот скриншот:

Sertifikat sootvetstvija skrin.jpg (63kb) загружен 0 раз(а).

Этот сертификат я вчера приводил, его срок действия истек, нового до сих пор нет.

Катерина:
Для подключения к сети 13833 аттестация действительно не нужна. Она нужна для обеспечения условий безопасности для работы в ваших системах.
Вне зависимости от того, ГИС это или просто ИС требования по защите персональных данных никто не отменял.
19 статья 152-фз, а также подзаконные акты регулируют меры при обработке персональных данных не только в ГИС.


Павел:
У каждого надзирающего гос.органа, службы есть право и обязанность контроля соблюдения законодательства в рамках их компетенции, и план проверок в рамках их компетенции. Рособрнадзор проверяет образовательную деятельность, а ФСБ - работу с шифровальными средствами (это, кстати, в том числе все ЭЦП). Проверяют, как ведется учет криптографических средств, как хранятся и учитываются дистрибутивы и документация, проверяют обязательно, что все используемые СКЗИ имеют действующий сертификат соответствия, проверяют, что все сейфы и системные блоки компьютеров, на которых установлены СКЗИ, опечатываются, и выполнение всех остальных требований, изложенных в приказе ФАПСИ от 13.06.2001 номер 152. Кроме того, при обработке ПД они в своей части контролируют выполнение 152-ФЗ и 378 приказа.

Катерина:
Коллеги, мы с вами обеспечиваем защиту персональных данных не потому, чтобы к нам проверка не пришла. А для их безопасности.
А вы сейчас рассуждаете со стороны, что в автомобиле ремень безопасности нужно пристегивать только для того, чтобы вам штраф не выписали.


Павел:
Требование использовать аттестованные СКЗИ при обработке ПДн указано в приказе 378 ФСБ от 10.07.2014 в пункте 5г, далее в п.9 указаны требования к выбору класса СКЗИ (КС1, КС2, КС3, КВ).
Online Ludmila Tihonova  
#24 Оставлено : 17 мая 2021 г. 18:44:27(UTC)
Ludmila Tihonova

Статус: Advanced Member

Группы: Registered
Зарегистрирован: 29.07.2018(UTC)
Сообщений: 534

Сказал(а) «Спасибо»: 34 раз
Поблагодарили: 28 раз в 27 постах
Продолжение диалога:

Сергей:
Вопросы по аттестации, проверкам и вообще по безопасности возникают из-за отсутствия информации:
- Сервис приема это ИСПДн или нет?
- Какой правовой статус "интеграции" с сервисом приема с точки зрения обмена персданными?
- Получение и передача персональных данных при подключении VPN с использованием VipNET это интеграция с ИСПДн? Если ИСПДн, то должны быть требования и к рабочему месту, используемым СЗИ и СКЗИ, определены категории ПДн. Если нет, то как это объясняется.
Например при подключении к ФРДО и иным системам ИСПДн есть четкий перечень мер которые необходимо обеспечить, чему соответствовать по всем регламентирующим документам.
Сервис приема такого не предлагает. Но его использование предполагает получение и обработку персданных от третьей стороны, и передачу собираемых ООВО персональных данных третьей стороне.
А хватит ли мер по защите ПДн принимаемых ООВО - не понятно. Разница в принятых мерах разных ООВО может быть весьма значительной и это допустимо по закону. У одних может быть аттестация и приняты меры для локальных ИС и обработки 500 единиц персданных, у других для 5 млн, а мер для передачи по сети может быть не предусмотрено.
Прошу пояснить по сути, изложенной выше.

Катерина:
Сервис приема - это модуль ФИС ГИА и Приема


Сергей:
Это значит, что при подключении руководствоваться техусловиями: https://www.rustest.ru/u...814fad747f9fbca9caee.pdf
Есть противоречия этого документа и того, как происходит подключение. Отсюда вопросы.
Причем устный ответ в конференции, что аттестовывать рабочее место не надо - прямо противоречит техусловиям.
Все нормативные документы: https://rustest.ru/gia/o...s/normativnye-dokumenty/

Катерина:
Вы подключаетесь к ФИС ГИА и Приема разными путями. К Сервису приема - по сети 13833. Ответ был в том, что непосредственно подключение к Сервису приема не требует аттестации. Это действительно так. Но при этом никто не отменяет требования по необходимости обеспечения безопасности на стороне вуза при работе с персональными данными, в т.ч. в информационных системах. И меры по безопасности применяются в зависимости от угроз.


Сергей:
Это обобщенные фразы.
Требования по безопасности, выполняемые ООВО относятся к локальным ИС, а не к Сервису приема.
При интеграции с ИСПДн организация выполняет требования, предъявляемые этой ИСПДн.
Нет понятия достаточных мер при интеграции.
Требования определяются согласно классу ИСПДн в ОРД ответственным за ИСПДн, а не подключаемой стороной.
Уточню вопрос:
Если Сервис приема - это модуль ФИС ГИА и Приема, соответственно Сервис приема это часть ИСПДн и для подключения применять туже организационно-распорядительную документацию, размещенную тут: https://rustest.ru/gia/o.../normativnye-dokumenty/?
Почему для подключения к ФИС ГИА и Приема требуется аттестация и выполнение техусловий, а к Сервису приема не требуется если это одна система, а набор ПДн в Сервисе приема даже шире.

Юрий:
Сергей, Вам ответили полно и точно. Подключение {канал связи) определяется техническими условиями. Применения VipNet вполне достаточно для выполнения требований законодательства. От слова - больше ничего не нужно. Ваше рабочее место - информационная система образовательной организации - как и тысячи других рабочих мест и серверов, обрабатывающих ПД в Вашем вузе, должны пройти оценку соответствия. Это обязанность Вашего вуза как оператора ПД, а не ЦИТиС и не Минобрнауки.


Катерина:
Отправка по электронной почте и-2021-0177 ViPNet Client for Win 4.5.3 ФСБ - Положительное заключение:
infotecs soobshchenie.jpg (61kb) загружен 0 раз(а).

Павел:
Общались сегодня достаточно продуктивно с представителем Инфотекса, сошлись на том, что наличие этого положительного заключения ФСБ в принципе позволяет проводить лицезиатам ФСБ аттестацию, хотя само это заключение и является секретным и доступны только его номер и дата.

Online Ludmila Tihonova  
#25 Оставлено : 21 мая 2021 г. 20:47:59(UTC)
Ludmila Tihonova

Статус: Advanced Member

Группы: Registered
Зарегистрирован: 29.07.2018(UTC)
Сообщений: 534

Сказал(а) «Спасибо»: 34 раз
Поблагодарили: 28 раз в 27 постах
Появился сертификат соответствия ФСБ VipNet Client от 18.05.2021:

Sertifikat sootvetstvija FSB VipNet Client ot 18.05.2021.jpg (104kb) загружен 4 раз(а).
Online Ludmila Tihonova  
#26 Оставлено : 3 июня 2021 г. 9:41:09(UTC)
Ludmila Tihonova

Статус: Advanced Member

Группы: Registered
Зарегистрирован: 29.07.2018(UTC)
Сообщений: 534

Сказал(а) «Спасибо»: 34 раз
Поблагодарили: 28 раз в 27 постах
На данный момент доступен временный упрощенный режим подключения для новых вузов: это означает, что вуз подписывает договор с любым партнером (VipNet) и, не дожидаясь оригиналов документов, отправляет запрос в ЦИТиС с приложением заявки, сертификата и копии договора. В ответ вузу присылают ключи на подключение (DST). При этом, когда вуз получит оригиналы лицензий по договору (через 20-40 дней), он должен в установленном порядке их направить в ЦИТиС.

Отредактировано пользователем 3 июня 2021 г. 9:41:43(UTC)  | Причина: Не указана

Offline ДенисБ  
#27 Оставлено : 15 июня 2021 г. 15:51:02(UTC)
ДенисБ

Статус: Новый участник

Группы: Registered
Зарегистрирован: 15.06.2021(UTC)
Сообщений: 1

Добрый день!
Быть аттестации на соответствие требованиям безопасности информации или не быть? - вот ... вопрос!
1. АРМ с которого идет подключение к ИС (Сервису) не совсем то информационная система. Всё-таки это АРМ доступа к сервису. Данные вводятся непосредственно в сервис и обрабатываются по большей части на сервисе. А сервис, как я понимаю, аттестован. Возникает вопрос: как сервис аттестовали без учета типовых сегментов (АРМы), которые планировались к подключению? А если аттестовались типовые сегменты, то аттестация АРМ на местах - это нецелевка. Посмотрите в ваших аттестатах, есть там оговорка в части типовых сегментов - АРМ?
2. Аттестация на местах в виде ИСПДн ОУ приводит к следующему: на месте ИСПДн, она же ГИС (мы же государственные или не ГИС?). Читаем требования: первыми пунктами Техзадание на СЗИ и Техпроект на СЗИ. А сколько это стоит? И не у кого этого не будет и нет. А без них аттестацию не пройти. В 17 приказе явно эти меры прописаны.
3. Каким требованиям на местах должна соответствовать ИС? 21, 17, а может 31 приказы ФСТЭК?
Offline Григорий Шматко  
#28 Оставлено : 18 июня 2021 г. 12:57:39(UTC)
Григорий Шматко

Статус: Новый участник

Группы: Registered
Зарегистрирован: 18.06.2021(UTC)
Сообщений: 1
Откуда: Гомельская обл. г. Рогачев

Интересный вопрос.
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.