Аттестация ЦОД - Форум по вопросам информационной безопасности

День добрый.

Помогите, разобраться, пожалуйста..

Есть ГИС, оборудование ГИС располагается в арендованных стойках ЦОД (ЦОД соотв. не наш).
и есть п.17.6 Приказа ФСТЭК №17
в котором говорится, что
В случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы.

Что значит этот пункт приказа? ЦОД должен принадлежать уполномоченному лицу и только тогда его надо аттестовать? Или достаточно аренды пары стоек, как в нашем случае и тогда ЦОД должен быть аттестован? Кто-нибудь сталкивался?

Имеется в виду, что если ГИС размещена на инфраструктуре, принадлежащей сторонней организации (то бишь "уполномоченному лицу"), то у нее (организации) должен быть аттестат на эту инфраструктуру.

Т.е. достаточно аренды стоек, которые входят в состав в аттестованного ЦОД.

2 WORM

Спасибо, я не все вводные дал. Можно ещё раз для тупеньких..

Оператор ГИС - ИОГВ

Наша организация (сопровождает ГИС и на своем оборудовании) - Уполномоченное лицо

ЦОД - вообще сторонняя получается организация, у который МЫ (Уполномоченное лицо) арендуем пару стоек, то бишь арендуем место.

Ответ будет такой же? Нужен аттестованный ЦОД? ЦОД же вроде получается не наш (не Уполномоченного лица) ?

То есть получается нужно иметь два аттестата? Аттестат на ГИС и на ЦОД?

А ЦОД должен сам аттестоваться или через нас должна идти аттестация?

Над такой сложной комбинацией ФСТЭК не задумывалась. Ей, в общем-то, по барабану, кто конкретно будет аттестовать, важно, чтобы ГИС крутилась в аттестованной инфраструктуре. Т.е. чтобы была бумажка.

Мне кажется должно быть так: Госорган обращается к вам и говорит: "размещаю у вас ГИС, покажите аттестат на ваши стойки". Есть аттестат? Замечательно. Нет? Ждем когда будет.
В вашем случае сами вы вряд ли сможете что-то аттестовать (в смысле, получить аттестат на арендованные стойки, хотя и такое возможно, просто трудновато). Вы должны решить вопрос с аттестацией с хозяином ЦОДа. А вот будет ли он этим заниматься - большой вопрос (ему зачастую это невыгодно и нафиг не нужно).

В общем, тяжелый случай, хотя и весьма распространённый.

2 WORM

Спасибо большое!

Тут еще нюанс - что значит - арендуете стойки? Место (пустое) в стойках, куда ставите свое оборудование или в стойках уже стоят СВТ, принадлежащие ЦОДу и вы арендуете их? В первом случае - ЦОД ничего не аттестует (по сути - он дает вам просто физическое место и электричество - все остальное - ваша ответственность), во втором случае - опять же - варианты - ЦОД дает только железо (операционка прикладной софт Ваши/все ЦОДа (включая ППО)/промежуточный вариант?

2 Alex-kl

Дада, спасибо за комментарий, мы именно арендуем пустое место, оборудование все наше.

То есть в данном случае можно не аттестовать?

Я извиняюсь, а это ваши рассуждения или есть какое-то подтверждение?

Я не к тому, что не согласен. Я наоборот полностью согласен. Другое дело, что в 17 приказе такого выбора нет...

Как говорится, "Невероятно, но факт"...
Аттестация = комплексная проверка состояния защищенности объекта (АС, ИС, ВП, не важно) в ключе соответствующих требований. В аттестационные испытания также входит проверка размещения оборудования, наличия контролируемой зоны и обследование ее границ, наличие физ.охраны, договоров аренды с прописанными правами и ответственностью и т.д. Так что ситуация аля "можно не аттестовать, если арендуем пустое место, а оборудование наше" не прокатит. Если же в приведенной ситуации вопросы размещения и юр.плоскости не рассматривать, получится знаменитая "аттестация по телефону". А это плохо, пнятьненко? (с)

Константин, oko, у меня речь не о том, что не аттестовать систему, а о том, что ЦОД сам по себе никакую аттестацию не проведет - ему аттестовывать еще нечего, не пустое же пространство в стойках, так что все исключительно на Вас, Константин.

Alex_kl, oko, спасибо, информацию принял.