Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Astra Linux Special Edition - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Astra Linux Special Edition

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 >

Автор: WORM, MK | 67690 19.12.2016 15:47
" Для кого же тогда обязательны ГОСТ по аттестации (оба два)? "

"Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе."

Вообще-то для всех. Согласно ст.4 и ст. 6 ФЗ-162 "О стандартизации в РФ", документы по стандартизации в области защиты информации применяются в обязательном порядке.
И попробуйте убедить регулятора в необязательности...

Автор: sekira | 67691 19.12.2016 15:57
При чем тут статья 4 ? какой пункт статьи?
Ну а в статье 6 .... устанавливается Правительством Российской Федерации.
И че? В чем убеждать то?

Автор: sekira | 67692 19.12.2016 18:20
ППр 17.10.2009 N 822

28. Обязательность применения документов, в которых установлены требования к продукции (работам, услугам), указанной в пункте 27 настоящего Положения, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции, устанавливается государственными заказчиками работ по стандартизации продукции (работ, услуг) и федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации.

Где обязательность установленная федеральными органами исполнительной власти, уполномоченными в области противодействия техническим разведкам и технической защиты информации?

Еще раз ждем новый букварь!!
И утверждения проекта Постановления правительства подготовлен Минобороны России 25.12.2015

с Положением по стандартизации и пунктом 10. Национальные стандарты ограниченного распространения являются обязательными для применения и исполнения в отношении объектов стандартизации, установленных настоящим положением.

и п. 2
...б) "объект стандартизации" - продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукция, сведения о которой составляют государственную тайну, создаваемых и (или) поставляемых вне государственного оборонного заказа, связанные с такой продукцией процессы, а также терминология, условные обозначения, исследования (испытания) и измерения, методы испытаний, маркировка, процедуры оценки соответствия.

Автор: WORM, MK | 67694 19.12.2016 18:47
Хмм...

тов. sekira, Вы уж цитируйте как следует.

" объект стандартизации - продукция (работы, услуги) (далее - продукция), процессы, системы менеджмента, терминология, условные обозначения, исследования (испытания) и измерения (включая отбор образцов) и методы испытаний, маркировка, процедуры оценки соответствия и иные объекты;

"
ст. 4. Стандартизация в Российской Федерации основывается на следующих принципах:
п.2. обязательность применения документов по стандартизации в отношении объектов стандартизации, предусмотренных статьей 6 настоящего Федерального закона, ....


ст 6. " Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией "

Ну и на всякий случай напомню, что ФЗ имеет большую юридич. силу в сравнении с Пост. Пр-ва.

И че?



Автор: sekira | 67695 19.12.2016 18:52
Не то процитировали (берите из правовых систем данные!)
от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"
ФЗ Статья 6 вступает в силу с 1 июля 2016 г.

ФЗ Статья 6. Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией

1. Порядок стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией, устанавливается Правительством Российской Федерации.

ФЗ отослал к Постановлению правительства которое пока не утверждено..., а то что действовало не содержит обязательность и отсылает регуляторам.

Автор: WORM, MK | 67696 19.12.2016 19:02
Вы случайно не перепутали порядок стандартизации с принципом применения документов по стандартизации?
Принцип очень простой: обязательность применения документов.

Автор: oko | 67697 19.12.2016 19:12
Итог (а то у меня от такого увлекательного цитирования глаза на лоб полезли): ФСТЭК ГОСТ разработала, а Правительство ничего не утвердило. Повторюсь, с ГИС та же история. И с НДВ по ПП 1119 аналогичная, пусть и реверсивная слегка. И... много еще примеров. Не беда - мы же, коллеги, в этой кухне давно варимся - пора уже привыкнуть к таким "несостыковочкам" :)
Вопрос-то в другом. Если ГОСТ не применять, то ДЗ обеспечивать, в принципе, не нужно (настройка BIOS на борту китай-материнки не в счет). Если ДЗ обеспечивать не нужно, появляется реальный канал утечки. Если появляется такой канал, его нужно закрывать. Замкнутый круг, ага. И, если раньше даже повода не было на него обращать внимания, ибо не рассматривали РД ГТК от НСД и СТР такой вопрос по ряду причин (хотя тов. из того же ОКБ САПР зачастую утверждают обратное). То сейчас появился какой-никакой повод в виде сих ГОСТ.
Итак, внимание, уважаемы знатоки, вопрос: "Будем бодаться с регулятором на заранее проигранной территории (лицензиаты мы как-никак, тем более однозначно с ГОСТ ознакомившиеся) или примем ГОСТ как модус операнди и начнем нагибать заказчика на соблюдения ДЗ в полной мере за счет встраивания отечественных СДЗ (благо, и требования по сертификации есть, и продукции хоть отбавляй)?" Естественно, к объектам, где за спиной каждого юзера (потенциального нарушителя) в АС стоит автоматчик - этот вопрос не относится...

Автор: WORM, MK | 67698 19.12.2016 19:38
2 oko
Это кто как. Кто-то будет бодаться, а кто-то нагибать )) Второе надежнее ))

Во всяком случае, если регулятор спросит "а чё не по ГОСТу?", то ответить практически и нечего...

Кстати, не раз спрашивал во 2 УФСТЭК, надо ли проводить ежегодный контроль в аттестованной ГИС. Ответ: не надо, надо постоянно поддерживать аттестованную ГИС в защищенном состоянии (см. мероприятия по эксплуатации аттестованной ИС в Приказе 17). А вот если по ГОСТу - ежегодный контроль строго обязателен, и любой аттестатор вправе (и даже обязан) вписать это в аттестат.

Автор: sekira | 67699 19.12.2016 19:40
"ФСТЭК ГОСТ разработал, а Правительство ничего не утвердило"
Что и пытался показать...

"и начнем нагибать заказчика на соблюдения ДЗ в полной мере"
А что вменим как требования к наличию ДЗ в Программе и методике и в последующем Заключении? Есть уже профили к ДЗ как их привяжите к ОИ не к СЗИ на ОИ?

Нет требований к ОИ нече выдумывать их самим и по крупицам где то домысливать и додумывать, по документам которые регулятор заранее подготовил, что бы требования (букварь) которые выдут заработали. Ну или начинаем переписку с регулятором ... пущай разъесняет.

Автор: sekira | 67700 19.12.2016 19:43
"А вот если по ГОСТу ..."

Я бы вам выложил все нестыковки с букварем, положением по аттестации, инструкцией по ГТ , методикой ПЭМИН, РД и т.д.
Но здесь низя и это совсем другая история...

Собственно почему и хотелось бы от регулятора отмашку...

Страницы: < 1 2 3 4 5 >

Просмотров темы: 1767

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.