Их рабочие места не входят в состав ГИС

или где написано, что в ГИС входят  только работники оператора?

откуда выводы?

по-вашему все пользователи ГИСов - не являются частью ГИС?

я могу привести кучу ГИС, в которых внешних работников больше работников оператора

Давайте, закончим на этом, регулятор нас рассудит, я хотелбы посмотреть как вы будите рассказывать ему что у вас никаким документом не определен состав, что он меняется ежесекундно и что нигде не написано, что так делать нельзя.
Вы точно меры защиты читали? Граници контролируемой зоны вы тоже ежесекундно хотите менять?

да и что, что в этом плохова?

поверьте читал, и не раз

опять про абстарактные требования... где написано про границы КЗ и почему они по клиентам должны быть?

определение из 149 ФЗ " информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств". пользоваетельские АРМ не обрабатывают информацию? тогда да, не часть ГИС )

На пользовательских арм нет бд. По-моему, этого достаточно

т.е. ограничиваем ИС границами серверного помещения?)

А что мешает так сделать?

определение ИС из ФЗ

Смотрите. Банки все без исключения должны пробивать потенциальных клиентов при открытии счета в различных ис (гис в том числе, о ужас). Пользуются при этом через браузер или спец. ПО и системами фнс, и фмс, и фтс и еще большого количества "ф...с":-). И данные в них тоже заносят. И вот приходите вы, трактуете фз по-своему, и вот все банки уже должны проводить аттестации таких рабочих мест и навешивать на них кучу сзи, а то ведь злой презлой хакер придет и начнет ломать эти ис через наши места. Не сделает себе еще одно место со всеми удобствами. А придет в банк, пройдет через пост охраны, проникнет в запираемый кабинет, загрузит ос с недоверенного источника (попутно сломав систему контроля за съемными носителями), установит свое хакерское по и незаметно покинет офис банка. Зато хоть пломбы на арме не нарушит.

читайте внимательно НПА. аттестация проводится для ГИС, а не для АРМ пользователей. и для того, чтобы избежать жутких требований к АРМ пользователей, для этого их сегмент классифицируют отдельно по более низкому классу и оператор ИС доводит требования по ИБ до пользователей.

как пример: https://www.minfin.ru/ru/document/?id_4=60495 приложение 2 к приложению 6

"Требования по обеспечению информационной безопасности автоматизированного рабочего места, с которого осуществляется доступ к компонентам системы «Электронный бюджет»"

все операторы ГИС, к которым банки подключены, должны довести аналогичные требования по своим ГИСам до пользователей и до банков в том числе

Товарищи, а есть еще интересные конференции по защите ИСПДн/ГИС в этом году? Или просто общего профиля ИБ, а не чисто КИИ ?