суббота, 24 августа 2013 г.

Заметка о получении ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 (стандарты по аттестации)

После ссылки на ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" в одной из старых записей, в мой блог постоянно приходят пользователи, находящиеся в поисках этих самых ГОСТов. И это не удивительно, данные стандарты носят обязательный характер для ГИСов и ряда других информационных систем, при этом они носят гриф "Для Служебного Пользования" (ДСП) и найти их в открытом доступе практически невозможно.

К сожалению, я не могу помочь моим читателям с получением текстов стандартов, но могу направить по правильному пути для их получения. Получить, а точнее, купить копию ГОСТ РО 0043-003-2012 и  ГОСТ РО 0043-004-2013 можно в организации ФГУП «СТАНДАРТИНФОРМ», на этой странице приведены контактные данные. Будьте готовы, что у вас запросят нотариально заверенную копию лицензий ФСТЭК по ТЗКИ. В некоторых случаях также запрашивали копии лицензий ФСБ на работу с гостайной, но это неправомерно - данные ГОСТы не относятся к сведениями, составляющим государственную тайну и применяются для информационных систем, которые могут не содержать гостайну.

Для ознакомления с сутью ГОСТ РО 0043-003-2012 рекомендую запись Артема Агеева, а  ГОСТ РО 0043-004-2013 предназначен скорее для органов по аттестации, чем для интеграторов и эксплуататоров аттестуемых информационных систем.

6 комментариев:

  1. На счет "Аттестационных лабораторий" не понял?
    Что это за зверь в твоем понимании...

    ОтветитьУдалить
    Ответы
    1. Конечно же, имелись ввиду аккредитованные органы по аттестации.

      Удалить
    2. Аккредитация органов по аттестации требуется только для гостайны.
      В остальных случаях достаточно лицензии на ТЗКИ. Поэтому корректрее просто "органы по аттестации".

      На самом деле я не совсем согласен с утверждением "ГОСТ РО 0043-004-2013 предназначен скорее для органов по аттестации, чем для интеграторов"

      Чаше всего интеграторы - это и есть органы по аттестации. Потому что аттестация это одна из форм оценки соответствия ИСПДн. По моим расчетам оценку в форме "аттестации" делают примерно 50% организаций.

      Поэтому ГОСТ РО - как рез для тех 50% интеграторов. А вот для Заказчиков без лицензии на ТЗКИ там действительно ничего нужного нет.

      Удалить
  2. Иван, а не могли вы подсказать по следующим вопросам:
    1) ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" - данный ГОСТ уже доступен для приобретения?
    2) Если доступен, как его можно приобрести (соответсвенно вопрос касается относительно лицензиата ТЗКИ). При обращении в ФГУП «СТАНДАРТИНФОРМ» был получен ответ, что они не занимаются распространением ГОСТ-ов с пометкой "ДСП".

    ОтветитьУдалить
    Ответы
    1. 1) По моим данным, доступен.
      2) Попробуйте обратиться в Учебно-информационный центр Рособоронстандарта - http://www.rosoboronstandart.ru/uchebno-informacionnyy-centr/

      Удалить
    2. Это Вы наверно обращались на Донскую. В на счет дсп нужно обращаться на Гранатный переулок

      Удалить