Продолжение диалога:
Сергей:
Вопросы по аттестации, проверкам и вообще по безопасности возникают из-за отсутствия информации:
- Сервис приема это ИСПДн или нет?
- Какой правовой статус "интеграции" с сервисом приема с точки зрения обмена персданными?
- Получение и передача персональных данных при подключении VPN с использованием VipNET это интеграция с ИСПДн? Если ИСПДн, то должны быть требования и к рабочему месту, используемым СЗИ и СКЗИ, определены категории ПДн. Если нет, то как это объясняется.
Например при подключении к ФРДО и иным системам ИСПДн есть четкий перечень мер которые необходимо обеспечить, чему соответствовать по всем регламентирующим документам.
Сервис приема такого не предлагает. Но его использование предполагает получение и обработку персданных от третьей стороны, и передачу собираемых ООВО персональных данных третьей стороне.
А хватит ли мер по защите ПДн принимаемых ООВО - не понятно. Разница в принятых мерах разных ООВО может быть весьма значительной и это допустимо по закону. У одних может быть аттестация и приняты меры для локальных ИС и обработки 500 единиц персданных, у других для 5 млн, а мер для передачи по сети может быть не предусмотрено.
Прошу пояснить по сути, изложенной выше.
Катерина:
Сервис приема - это модуль ФИС ГИА и ПриемаСергей:
Это значит, что при подключении руководствоваться техусловиями:
https://www.rustest.ru/u...814fad747f9fbca9caee.pdfЕсть противоречия этого документа и того, как происходит подключение. Отсюда вопросы.
Причем устный ответ в конференции, что аттестовывать рабочее место не надо - прямо противоречит техусловиям.
Все нормативные документы:
https://rustest.ru/gia/o...s/normativnye-dokumenty/Катерина:
Вы подключаетесь к ФИС ГИА и Приема разными путями. К Сервису приема - по сети 13833. Ответ был в том, что непосредственно подключение к Сервису приема не требует аттестации. Это действительно так. Но при этом никто не отменяет требования по необходимости обеспечения безопасности на стороне вуза при работе с персональными данными, в т.ч. в информационных системах. И меры по безопасности применяются в зависимости от угроз.Сергей:
Это обобщенные фразы.
Требования по безопасности, выполняемые ООВО относятся к локальным ИС, а не к Сервису приема.
При интеграции с ИСПДн организация выполняет требования, предъявляемые этой ИСПДн.
Нет понятия достаточных мер при интеграции.
Требования определяются согласно классу ИСПДн в ОРД ответственным за ИСПДн, а не подключаемой стороной.
Уточню вопрос:
Если Сервис приема - это модуль ФИС ГИА и Приема, соответственно Сервис приема это часть ИСПДн и для подключения применять туже организационно-распорядительную документацию, размещенную тут:
https://rustest.ru/gia/o.../normativnye-dokumenty/?Почему для подключения к ФИС ГИА и Приема требуется аттестация и выполнение техусловий, а к Сервису приема не требуется если это одна система, а набор ПДн в Сервисе приема даже шире.
Юрий:
Сергей, Вам ответили полно и точно. Подключение {канал связи) определяется техническими условиями. Применения VipNet вполне достаточно для выполнения требований законодательства. От слова - больше ничего не нужно. Ваше рабочее место - информационная система образовательной организации - как и тысячи других рабочих мест и серверов, обрабатывающих ПД в Вашем вузе, должны пройти оценку соответствия. Это обязанность Вашего вуза как оператора ПД, а не ЦИТиС и не Минобрнауки.Катерина:
Отправка по электронной почте и-2021-0177 ViPNet Client for Win 4.5.3 ФСБ - Положительное заключение:
infotecs soobshchenie.jpg
(61kb) загружен 0 раз(а).Павел:
Общались сегодня достаточно продуктивно с представителем Инфотекса, сошлись на том, что наличие этого положительного заключения ФСБ в принципе позволяет проводить лицезиатам ФСБ аттестацию, хотя само это заключение и является секретным и доступны только его номер и дата.