Вопросы_2.6.50.md 2.6 KB
Можно ли распространить аттестат на ноутбук, подключаемый к атестованной системе? Нет, если ноутбук не был учтён в модели угроз и не проходил аттестационные испытания. Мобильные устройства подвержены дополнительным угрозам (утеря, кража, несанкционированный доступ вне сети), которые могут не входить в модель угроз стационарного сегмента. Даже при наличии аналогичных средств защиты, аттестационные испытания должны быть проведены.
Обязательно ли разрабатывать отдельную модель угроз для каждого типового сегмента? Нет. Для всех типовых сегментов действует единая модель угроз, разработанная для аттестованного сегмента. Однако при существенных изменениях в инфраструктуре (например, внедрение виртуализации или облачных технологий) модель угроз необходимо пересмотреть в целом.
Должны ли данные о типовых сегментах отражаться в техническом паспорте? Да, обязательно. Согласно разъяснениям ФСТЭК, информация о подключённых сегментах вносится в технический паспорт. Оператор может выбрать формат: обновлять общий паспорт или вести отдельные паспорта на каждый сегмент. Второй вариант удобнее для учёта и аудита.
Кто несёт ответственность, если типовой сегмент не соответствует требованиям? Оператор информационной системы. Аттестующая организация отвечает только за качество испытаний исходного сегмента. Распространение аттестата — прерогатива и обязанность оператора. В случае выявления нарушений, ответственность будет привлекаться по статье 13.11 КоАП РФ.