Это нормально, или вы на грамоту надеялись?

Я из территориального органа, все ППО у нас централизованное, поэтому спрашивать с нас нечего)

На медаль) я всегда за чистоту акта...

И за его непрерывность и безопасность...😳

Проверяют. После ПП№ 555.

История началась после уточнения обязательности аттестации системы перед вводом ее в эксплуатацию. А в процессе аттестации это проверяют Мы фиксируем значительный рост интереса к теме.

Приветствую!
А какое именно ПП-555? Про ЕГИС Минздрава, или еще какое? А то наплодили этих ПП.

А аттестацию проводит лицензиат ФСТЭК? И требует показать выписку из заключения ФСБ по проведенной оценки влияния?

Постановление Правительства РФ от 11 мая 2017 г. № 555 “О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации”

Если точнее Правительства Российской Федерации от 6 июля 2015 г. № 676

Спасибо!

Там есть отличный пункт №15: 15. Ввод системы в эксплуатацию не допускается в следующих случаях:

а) невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации;

в) невыполнение требований настоящего раздела, выявленных в ходе осуществления контроля в соответствии с Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. № 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации".".

Коллеги, дико извиняюсь за спам, веб-клиент телеграмма не очень.

А кто обычно этот проект (этап работ) ведет, по  проведению оценки? Заказчик или разработчик системы? (примеряю на фин сектор)
Sorry, что много вопросов.
Тема достаточно новая.

Владелец системы, который интегрирует СКЗИ в свое приложение. Он должен выполнить требования формуляра и правил пользования на СКЗИ, в которых может быть требование об оценке среды функционирования на это самое СКЗИ.

Дай угадаю. Должна ли Валидата сама проводить контроль встраивания? )))) Или должны ли вы это проводить обязательно в Валидате?

Почти!))
Тут 2 момента:
1. В идеале, разработчики ИС(ДБО, АБС и т.д.) могли бы предлагать своим заказчикам 2 варианта на выбор. Либо "не сертифицированную" систему, либо "сертифицированную" (т.е. уже со всеми бумажками от регуляторов ИБ).
2. Просто для понимания процедуры, можно ли обойтись на этапе проведения оценки, без разработчика СКЗИ, которое встраивается.
Но оба вопроса, похоже, уже стали риторическими...

1. В идеале да, их об этом должны просить финансовые организации. По 2 пункту совершенно точно да.

Ну да, фин организации и тут всем должны))