1. В связи с изменением наименования ООО «…» на ООО «…» просим Вас сообщить о необходимости внесения изменений в порядок эксплуатации, а также в организационно-распорядительную документацию на аттестованную Вами по требованиям безопасности автоматизированную систему «………….» класса 1Г.
Изменение наименования не влечет за собой смены организационно правовой формы.
Внесение изменений в эксплуатационную документацию не требуется. При эксплуатации объекта информатизации необходимо обеспечить неизменность системы защиты и используемой технологии обработки защищаемой информации.
2. Возникла необходимость замены вышедшего из строя принтера из состава ОТСС аттестованного объекта информатизации (ГТ). В настоящее время компания, выдавшая аттестат соответствия, не входит в перечень органов по аттестации. Каковы наши действия?
В случае если на момент доработки объекта информатизации или внесения изменений в условия его эксплуатации орган по аттестации, выдавший аттестат соответствия на данный объект информатизации, прекратил свою деятельность, владелец объекта информатизации согласовывает планируемые изменения с территориальным органом ФСТЭК России.
3. Коллеги, проконсультируйте, пожалуйста, в дальнейшем на какие сроки правильнее ориентироваться при проведении следующего периодического контроля: дату выдачи аттестата соответствия или проведение последнего периодического контроля?
В дальнейшем, при проведении следующего периодического контроля, правильнее ориентироваться на дату проведения последнего периодического контроля.
4. Нужно ли проходить повторную аттестацию защищаемого помещения по истечении трех лет, если она проводилась в 2021 году до ввода в действие Приказа № 77-2021? Или на него распространяется действие нормы данного приказа о действии аттестации на весь срок эксплуатации ОИ?
Защищаемое помещение (ЗП) было аттестовано до вступления в силу в действия Приказа № 77, т.е. по требованиям СТР-К и других действующих на момент аттестации нормативных документов. Срок действия аттестата, в соответствии с действующим, на момент аттестации ГОСТ РО 0043 - 003 - 2012, составлял не более 3 лет. Владельцу ЗП необходимо после окончания срока действия выданного аттестата, принять решение о его аттестации по требованиям Приказа № 77. В этом случае аттестат соответствия будет выдан на весь срок эксплуатации.
5. Нужно ли переделывать Модель угроз, которая была сделана до вступления в силу Методики оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021), при проведении аттестации в связи с окончанием срока действия ранее выданного аттестата соответствия?
В соответствии с п.1.8 Методики оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021):
«Положения настоящей Методики применяются для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях. Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения настоящей Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.»
В соответствии с Приказом ФСТЭК России № 77 под развитием (модернизацией) объекта информатизации, в частности, понимается (п. 33):
«В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичных средств или заменены на аналогичные средства …»
Таким образом, использование «старой» Модели угроз возможно, если не проводилось развития (модернизации) аттестованного объекта. Если же такие работы проводились, то Модель угроз необходимо привести в соответствие с новой Методикой.