Удаленные рабочие места у аттестованной системы


#1

Добрый день, существует аттестованная система, которая хранит в себе персональные данные о детях, так же на удаленны рабочих местах, вбивают данных о детях. а именно ФИО СНИЛС и оценки, нужно-ли аттестовывать удаленные рабочие места ?


#2

Приказ ФСТЭК России от 11 февраля 2013 года “Требования
о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах” ничего не говорит об отдельной аттестации рабочих мест. Трудно сказать, насколько тут подходит п. 17.3 Приказа об аттестации сегментированной системы, но в принципе, наверное да: если обработка производится в том числе на удаленном рабочем месте, то это также сегмент системы.
В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.
Таким образом, следует предположить, что ИС, предусматривающая возможность работы с удалённых рабочих мест, должна была пройти аттестацию с учётом их наличия, если при этом удалённые места соответствуют общей системе, то есть, если они не были каким-то образом “доработаны местным администратором” или, к примеру, система запрещает работать удалённо, а её “допили” и “дело пошло”. То есть тут надо смотреть документацию на ИС и на отсутствие реализации недокументированных возможностей ИС.
Даже по логике подобная ИС должна реализовывать защиту ПДн при передаче по сетям связи, иначе не очень понятно, что она защищает.
То есть, в принципе, думаю, нет необходимости удалённые рабочие места аттестовывать отдельно.


#3

Алексей, если ИС аттестованная, то должен быть Аттестат и Паспорт ИС (АС). Нужно их прочитать, возможно найдете ответы на свои вопросы.

Изначально, в составе ИС были удаленные места? Или они были добавлены уже после аттестации? Если Вы сами их позже добавили, то скорей всего этого делать нельзя было и ИС нужно аттестовать заново.

Если рассматривать вопрос в общем, то удаленные рабочие места так же входят в состав ИСПДн и значит тоже должны быть защищены и учитываться при аттестации ИС.


#4

Нет, все рабочие места были до аттестации, ИС аттестована, создан VipNet канал


#5

Спасибо за ответ, районы отчитываются что рабочие места не дорабатывались никак


#6

Если орган по аттестации выдал Вам Аттестат на такую ИСПДн и после ввода в эксплуатацию Вы ничего там не меняли, то и волноваться не стоит. Или вопрос был в другом?


#7

нет, именно в этом, спасибо )