Контакты
Подписка
МЕНЮ
Контакты
Подписка

Акты классификации ГИСа - Форум по вопросам информационной безопасности

Акты классификации ГИСа - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3

Автор: oko | 77867 14.09.2017 14:11
to malotavr
< С каких пор ГОСТ 2003 года> - это какой ГОСТ, позвольте поинтересоваться? 0043 (там 2 ГОСТ, кстати) определяют порядок проведения аттестации ОИ и разработки ПиМ. И они куда как более свежие...

<Лютиков устал повторять> - Лютиков пусть повторит это своим же подчиненным из региональных управлений. Поскольку, лично, устал отвечать на их дурацкие вопросы, связанные с тем, что в НМД написано одно, а зачем вы сделали больше и иначе? И почему обходились "левым софтом", когда есть прекрасный "Ревизор-1XP" (например)...

<Сертификации инструментов для тестирования на проникновение никогда не было, нет и не будет> - и получаем полное противоречие в ГТ и ГИС, где каждый инструмент контроля защищенности также должен пройти сертификацию хотя бы по НДВ. В противном случае, если не считать такие инструменты частью общей системы защиты информации, - никто их никогда не будет применять. Юридический коллапс. А главное, что процесс дальнейшей оценки адекватности используемых мер тестирования будет затягиваться и затягиваться, что породит еще большее число халявщиков среди лицензиатов. Утвержденный и постоянно пополняемый перечень инструментов должен быть и должен вестись именно регулятором, а не применяться лицензиатами на свой страх и риск по принципу "что нашлось"...

<если лицензиат просит порекомендовать такие инструментальные средства (тем более сертифицировать их), значит он профнепригоден.> - отлично! Даешь километровые логи john по бруту пассов nix-серверов в Протоколы НСД дабы подчеркнуть профпригодность. Вопрос не в том, ЧТО применять, а КАКОЙ тип разрешен к применению и КАК оформлять его итоги...

<чтобы избежать коллизий, термин "... заменяется другими формулировками, сохраняющими этот самый исходный смысл> - это они наученные горьким опытом "НДВ" в ИСПДн и в РД? Браво, оценил. Только "испытания путем попыток НСД" - слишком расплывчатая формулировка, имеющая не менее бородатые корни по сравнению с частным "тестированием на проникновение" в области ПО...

<лицензиаты получают люлей от ФСТЭК именно за блеяние> - это вы к чему? Про "белые пятна"? Сдается мне, вы давно отошли от общения с конечными проверяющими "на местах". Особенно представителями "другого регулятора", которых больше волнует бумажное оформление и методы защиты бородатых годов согласно небезызвестной Инструкции. Либо вам повезло общаться с революционерами от гос-позиции по ИБ/ЗИ, так сказать "на передовой", оценивающих семантический функционал, а не формальные признаки работы лицензиата. Проблема в том, что это далеко не повсеместные реалии...

<мы не умеем и не хотим делать ту работу, за выполнение которой государство заставляет нам платить> - без обид, но вы мне сейчас напомнили тов. Щеглова с его радикальной позицией по отношению к своим конкурентам... Вообще, стоит ориентировать эти слова в первую голову на наших разработчиков норм и правил, которые НМД либо затягивают, либо оформляют через ж** - яркий пример с текущей ситуацией по ГТ или с отсутствием утвержденной Методики моделирования УБИ по ГИС...

Автор: sekira | 77868 14.09.2017 14:15
"Лютиков устал повторять, что лицензиаты, тупо следующие методичкам, нафиг никому не сдались"
Пусть закрепит это не на словах. 10 лет уже тема экспертов муссируется и че?

"яркий пример с текущей ситуацией по ГТ или с отсутствием утвержденной Методики моделирования УБИ по ГИС..."
Аххаха 100500+++

Автор: malotavr | 77871 14.09.2017 20:59
> сейчас напомнили тов. Щеглова

Чур меня! Я исправлюсь, честное слово :)

Страницы: < 1 2 3

Просмотров темы: 5726

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*