А
Переслано от Alex Millers
например, для производства СКЗИ -- постановление Правительства Российской Федерации от 16 апреля 2012 г. № 313
Size: a a a
2019 May 23
А
А
Переслано от Alex Narg
ФСБ постановление 313. п. 6 Лицензионные требования
НГ
Спасибо большое! а для КИИ нет таких требований по людям? только для получения лицензий?
ДК
Это игра слов, не более. "сертифицированного ЦОДа" (в контексте ПДн, и пр.) не может существовать, т.к. нет ни одного требования ни одного ФОИВа, определяющего порядок сертификации ЦОДов (сертифицировать можно средство, а не систему. Систему можно только аттестовать).
Единственный вариант, приходящий на ум, это сертифицированная СМИБ этого ЦОДа по 27001, но опять же не "сертифицированный ЦОД".
В любом случае, у СБИСа на сайте всё выглядит скорее как лозунги, а не факты:
- если есть сертификат - почему не похвалились номером, кто выдал? Уважаемая ли фирма?
- сертификаты на Cisco выданы для самого низшего класса (по ФСТЭКу если использовать сертифицированные версии, то CIsco хватит только до УЗ3 включительно. Следовательно, в ЦОДе много не накопить (прото сертификт не позволяет хранить много ценной информации).;
- круглосуточная охрана и дублирование систем - это ж ЦОД, как может быть иначе?
- Thawte - это хорошо, но могло быть что угодно ещё.
Единственный вариант, приходящий на ум, это сертифицированная СМИБ этого ЦОДа по 27001, но опять же не "сертифицированный ЦОД".
В любом случае, у СБИСа на сайте всё выглядит скорее как лозунги, а не факты:
- если есть сертификат - почему не похвалились номером, кто выдал? Уважаемая ли фирма?
- сертификаты на Cisco выданы для самого низшего класса (по ФСТЭКу если использовать сертифицированные версии, то CIsco хватит только до УЗ3 включительно. Следовательно, в ЦОДе много не накопить (прото сертификт не позволяет хранить много ценной информации).;
- круглосуточная охрана и дублирование систем - это ж ЦОД, как может быть иначе?
- Thawte - это хорошо, но могло быть что угодно ещё.
почему не похвастались? Вы их искали? https://sbis.ru/about/license вот есть лицензия на защиту конфиденциальных данных о чем они и написали. И по договору они это гарантируют, в отличии от многих других "облаков" - я как бы про это говорил.
VM
почему не похвастались? Вы их искали? https://sbis.ru/about/license вот есть лицензия на защиту конфиденциальных данных о чем они и написали. И по договору они это гарантируют, в отличии от многих других "облаков" - я как бы про это говорил.
Дмитрий.
В ИБ России в общем виде
- Лицензия - право на деятельность по ИБ
- Сертификат - подтверждение потенциальной способности средства защиты что-то защищать (но если не включить, или не правильно настроить, оно защищать не будет, но сертификат всё равно действителен)
- Аттестат - подтверждение способности системы обеспечить безопасность обрабатываемой там информации, т.е. люди знают что делать, средства есть и корректно работают, информация защищена (проверено на тестовой информации, в т.ч. с помощью пентеста).
Сертифицированный ЦОД - это не корректная фраза с т.з. нормативки как российской, так и международной. (никто в лабораторию ЦОД не потащит, и на стенде его испытывать не будет)
Лицензия может быть у организации, у которой нет ни одного сервера для оказания услуг ЦОД.
Что такое "они гарантируют" - они заплатят? У них есть страхование от утечек? Или их невозможно взломать? Или они пустят к себе аудит клиента, чтобы те проверили защищённость?
Я имею ввиду, они могут быть защищёнными и не защищёнными. Но сертифицированным их ЦОД не может, т.к. нет таких требований по ИБ, на соответствие которым провести сертификацию ЦОДа.
В ИБ России в общем виде
- Лицензия - право на деятельность по ИБ
- Сертификат - подтверждение потенциальной способности средства защиты что-то защищать (но если не включить, или не правильно настроить, оно защищать не будет, но сертификат всё равно действителен)
- Аттестат - подтверждение способности системы обеспечить безопасность обрабатываемой там информации, т.е. люди знают что делать, средства есть и корректно работают, информация защищена (проверено на тестовой информации, в т.ч. с помощью пентеста).
Сертифицированный ЦОД - это не корректная фраза с т.з. нормативки как российской, так и международной. (никто в лабораторию ЦОД не потащит, и на стенде его испытывать не будет)
Лицензия может быть у организации, у которой нет ни одного сервера для оказания услуг ЦОД.
Что такое "они гарантируют" - они заплатят? У них есть страхование от утечек? Или их невозможно взломать? Или они пустят к себе аудит клиента, чтобы те проверили защищённость?
Я имею ввиду, они могут быть защищёнными и не защищёнными. Но сертифицированным их ЦОД не может, т.к. нет таких требований по ИБ, на соответствие которым провести сертификацию ЦОДа.
AD
ЦОД же можно только аттестовать
AK
Немного поправлю про сертификат и аттестат - это подтверждение не "способности", а соответствия каким-либо требованиям
AP
Artem Dorofeev
ЦОД же можно только аттестовать
Каким образом?! Не, аттестовать-то можно, конечно, но как потом соблюсти неизменность объекта?
AD
Andrei Potseluev
Каким образом?! Не, аттестовать-то можно, конечно, но как потом соблюсти неизменность объекта?
без "прирученного" лицензиата фстэк под рукой не реал соблюсти
ST
Добрый день. Подскажите могут ли в одной ИСПДн обрабатываться ПДн наших работников и ПДн работников дочерних организаций? Цель обработки по идее одна- кадровое делопроизводство работников группы компаний. Ну и соответственно обрабатывается все это на тех же армах и серверах. Или все же надо делать две идентичные испдн, отличающимися только названиями ?
AD
Andrei Potseluev
Каким образом?! Не, аттестовать-то можно, конечно, но как потом соблюсти неизменность объекта?
неизменной не обязательно соблюдать, т.к. в случае изменения конйигурации оборудования и ПО организация аттестовавшая цод должна провести дописпытания и выдать заключение о подтверждении аттестата соответствия в текущей конфигурации, непомнюбк ак называется даннный документ
V
добрый день. могут. запрет только на разные цели обработки
V
Добрый день. Подскажите могут ли в одной ИСПДн обрабатываться ПДн наших работников и ПДн работников дочерних организаций? Цель обработки по идее одна- кадровое делопроизводство работников группы компаний. Ну и соответственно обрабатывается все это на тех же армах и серверах. Или все же надо делать две идентичные испдн, отличающимися только названиями ?
могут, только между головной и дочерними организациями не забудьте заключить договора обработки пдн по поручению оператора
AP
Artem Dorofeev
неизменной не обязательно соблюдать, т.к. в случае изменения конйигурации оборудования и ПО организация аттестовавшая цод должна провести дописпытания и выдать заключение о подтверждении аттестата соответствия в текущей конфигурации, непомнюбк ак называется даннный документ
Это-то я понимаю. 😊 Я имел ввиду, что в коммерческом ЦОД куча клиентов. Как за ними следить/заставить их сообщать об изменениях, это раз. И два - если их будет десяток-другой, они что-то менять будут ежедневно. Лицензиат там жить будет 24/7, в этом ЦОДе, выдавая заключения...
ST
могут, только между головной и дочерними организациями не забудьте заключить договора обработки пдн по поручению оператора
Это то конечно, договоры заключены. Я так и предполагал, но мало ли как сейчас ркн относится к такому. Спасибо!
VM
VM
Andrei Potseluev
Каким образом?! Не, аттестовать-то можно, конечно, но как потом соблюсти неизменность объекта?
МОжно по сегментному подходу. Дальше сам Оператор ЦОД будет проводить изменения путём их приёмки (нужен корректный методолог-бумажник)
AK
Andrei Potseluev
Это-то я понимаю. 😊 Я имел ввиду, что в коммерческом ЦОД куча клиентов. Как за ними следить/заставить их сообщать об изменениях, это раз. И два - если их будет десяток-другой, они что-то менять будут ежедневно. Лицензиат там жить будет 24/7, в этом ЦОДе, выдавая заключения...
не дай бог, чтобы клиенты могли влиять на защищенность ЦОДа в целом, и на защищенность данных других клиентов, в частности
AP
Alexander Korb
не дай бог, чтобы клиенты могли влиять на защищенность ЦОДа в целом, и на защищенность данных других клиентов, в частности
Вы себе такой ЦОД представляете? Это раз. Два - если они повлияют на защищенность СВОИХ данных, это автоматом повлияет на Аттестат ЦОДа. Хотите Вы этого или нет.