С чего это косяки клиентов повлияют на Аттестат ЦОДа?
Во-первых, чтобы то-то случилось с аттестатом должна быть или контрольная проверка регулятора, или Оператор ЦОДа должен сам позвать лицензиата, выдавшего аттестат для проверки.
Во-вторых, Оператор ЦОДа, составив корректно договор и подкрепив это техническими мерами для форензики, открестится от косяков клиентов

Давайте, для начала, определимся. Что именно аттестуем? Какую систему? Если ИС владельца ЦОДа, то да, не повлияет. Но толку от такого аттестата клиентам? Что касается проверок - тут Вы правы, но если так судить, то и ПДн, и остальное можно не защищать, до первой проверки.

клиенту только это и надо - чтобы ЦОД гарантировал защищенность.

Давайте, определимся.
Единственное требование по аттестации ЦОДов в РФ сейчас -  это аттестация в контексте требований второго абзаца пункта 17.6 Требований о ЗИ, утверждённых приказом 17 ФСТЭК России в редакции 2017 года.

Там написано, что ЦОД должен быть аттестован. Это всё. Поэтому сразу стало столько аттестованных ЦОДов.

Поэтому, это ответственность клиента, понять, что же Оператор аттестованного ЦОДа имеет ввиду под этой аттестованностью, что было в scope аттестации, то ли весь ЦОД, то ли весь ЦОД со всеми будущими типовыми стойками, то ли одна стойка, то ли просто инфраструктура (Инет, силовые кабели и УПСы). ЦОД может получить аттестат при любом варианте.

Кроме того, именно на этапе договора должна быть распределена ответственность. Даже ФСТЭК об этом уже давно пишет.

Я об этом и говорю. "то ли весь ЦОД со всеми будущими типовыми стойками, то ли одна стойка, то ли просто инфраструктура (Инет, силовые кабели и УПСы)" Если весь ЦОД, то клиент может повлиять на его защищенность, либо клиента надо загонять в жесткие рамки и сильно контролировать. Если одна стойка или инфраструктура, то да, клиент повлиять не может. Но и клиенту такой аттестат - мертвому припарки. Собственно, это все что я хотел сказать. Не очень понимаю, о чем мы спорим. Я с тем, что Вы написали согласен полностью.

Не спорим. Я просто не пойму к чему неопределённость. ЦОДу надо накладывать рамки на клиента (юридические), иначе из-за одной паршивой овцы... стойку унесут.
Более того, ЦОД должен заявить регламент/правила предварительной проверки того, что ему подсовывают (мож картинки нехорошие, или через него хотят амплифицировать атаку).
В свою очередь, клиент должен быть уверен, что ЦОД будет играть по правилам, в тех границах, которые заявлены. А остальное - на клиенте.
Как-то так.

Кто то потерял пропуск на PHDays

с серой ленточкой? )

Прошляпил, скажем так...

на одной из иб-конф с окончательным фуршетом в москве ко мне на выходе подошёл человек и попросил бейджик, дабы он мог пройти внутрь немножечко прибухнуть

года 4 назад

такое, часто бывает. Особенно если там кормят хорошо

не прошло и 5 сообщений...

Есть система ФРМР (Федеральный регистр медицинских организаций) если пользователь осуществляет вход  через ЕГПУ в данную систему (через браузер) и обрабатывает там ПДН, эта система ведь будет считаться распределенной?

АРМ - без линий связи
ЛВС - линии связи не выходят за пределы КЗ
РВС - хотя бы одна линия связи выходит за пределы КЗ

Так что - да

ещё один случай с ЭП
https://habr.com/ru/post/453596/?utm_campaign=453596

и туда же в догонку. Скоро нас перепроверять будут по 5 раз.
https://habr.com/ru/news/t/453208/