После ссылки на ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" в одной из старых записей, в мой блог постоянно приходят пользователи, находящиеся в поисках этих самых ГОСТов. И это не удивительно, данные стандарты носят обязательный характер для ГИСов и ряда других информационных систем, при этом они носят гриф "Для Служебного Пользования" (ДСП) и найти их в открытом доступе практически невозможно.
К сожалению, я не могу помочь моим читателям с получением текстов стандартов, но могу направить по правильному пути для их получения. Получить, а точнее, купить копию ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 можно в организации ФГУП «СТАНДАРТИНФОРМ», на этой странице приведены контактные данные. Будьте готовы, что у вас запросят нотариально заверенную копию лицензий ФСТЭК по ТЗКИ. В некоторых случаях также запрашивали копии лицензий ФСБ на работу с гостайной, но это неправомерно - данные ГОСТы не относятся к сведениями, составляющим государственную тайну и применяются для информационных систем, которые могут не содержать гостайну.
Для ознакомления с сутью ГОСТ РО 0043-003-2012 рекомендую запись Артема Агеева, а ГОСТ РО 0043-004-2013 предназначен скорее для органов по аттестации, чем для интеграторов и эксплуататоров аттестуемых информационных систем.
На счет "Аттестационных лабораторий" не понял?
ОтветитьУдалитьЧто это за зверь в твоем понимании...
Конечно же, имелись ввиду аккредитованные органы по аттестации.
УдалитьАккредитация органов по аттестации требуется только для гостайны.
УдалитьВ остальных случаях достаточно лицензии на ТЗКИ. Поэтому корректрее просто "органы по аттестации".
На самом деле я не совсем согласен с утверждением "ГОСТ РО 0043-004-2013 предназначен скорее для органов по аттестации, чем для интеграторов"
Чаше всего интеграторы - это и есть органы по аттестации. Потому что аттестация это одна из форм оценки соответствия ИСПДн. По моим расчетам оценку в форме "аттестации" делают примерно 50% организаций.
Поэтому ГОСТ РО - как рез для тех 50% интеграторов. А вот для Заказчиков без лицензии на ТЗКИ там действительно ничего нужного нет.
Иван, а не могли вы подсказать по следующим вопросам:
ОтветитьУдалить1) ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" - данный ГОСТ уже доступен для приобретения?
2) Если доступен, как его можно приобрести (соответсвенно вопрос касается относительно лицензиата ТЗКИ). При обращении в ФГУП «СТАНДАРТИНФОРМ» был получен ответ, что они не занимаются распространением ГОСТ-ов с пометкой "ДСП".
1) По моим данным, доступен.
Удалить2) Попробуйте обратиться в Учебно-информационный центр Рособоронстандарта - http://www.rosoboronstandart.ru/uchebno-informacionnyy-centr/
Это Вы наверно обращались на Донскую. В на счет дсп нужно обращаться на Гранатный переулок
Удалить