Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Аттестация объекта информатизации - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Аттестация объекта информатизации

К списку тем | Добавить сообщение


Страницы: [181-200] < 201 202 203 204 205 206 207 208 209 210 211 212 >

Автор: Работник холдинга | 67870 26.12.2016 22:20
oko | 67869
Сертификация и точка,если придерживаться позиции регулятора. Если не придерживаться - стоит либо запасаться таблетками от кашля, либо вазелином. Либо вообще заранее не относить угрозу к актуальной, но так, чтобы потом не было мучительно больно. Иных подходов не дано...

Вы какого регулятора имеете в виду? Того, что осуществляет лицензионный контроль?

Автор: Dfg | 67873 27.12.2016 06:37
To oko
--Про "оценку соответствия" уже разговоров было наговорено слишком много. Сертификация и точка,если придерживаться позиции регулятора. Если не придерживаться - стоит либо запасаться таблетками от кашля, либо вазелином--

А что, прыткого проверяющего нельзя охладить официальным сообщением Фстэк размещенным на сайте? Там написано, что такое оценка соответствия.

Автор: Евгений | 67884 27.12.2016 16:12
А что ПП РФ от 21.04.2010 № 266 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, ..." отменили?

Автор: oko | 67886 27.12.2016 18:11
Смотрю я, разговоров было много, да все мимо...
Не стану комментировать вопрос "оценки соответствия" для СЗИ при защите ПДн / КИ / ГИС / любой другой ИОД. УсталЪ, ибо...

Автор: Dfg | 67896 28.12.2016 07:19
Ну ладно оценка соотвествия, в 17 приказе чётко говорится про сертификацию, без всяких задних ходов как в 21 и 31.
Зато в 17 есть компенсирующие меры. ))

--В качестве исходных данных для разработки компенсирующих мер защиты информации, в первую очередь, необходимо рассматривать:
приложение № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17, и раздел 3 настоящего методического документа;

международные, национальные стандарты, стандарты организаций в области информационной безопасности; результаты собственных разработок (научно-исследовательские и опытно-конструкторские работы).

При этом должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее: изложение причин исключения меры (мер) защиты информации; сопоставление исключаемой меры (мер) защиты информации с блокируемой (нейтрализуемой) угрозой (угрозами) безопасности информации; .

описание содержания компенсирующих мер защиты информации; сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации; аргументацию, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование (нейтрализацию) угроз безопасности информации.

Разработанное обоснование должно быть представлено при проведении аттестационных испытаний. При аттестационных испытаниях с учетом представленного обоснования должны быть оценены достаточность и адекватность компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации. --

Собираешь на базе опенсорса детектор вторжений. Обзываешь это опытно- конструкторской работой, пишешь обоснование, засовываешь в компенсирующие меры детекта уторжкний и voila. Одна из Базовых мер выполнена.

Причём выполнена на базе официально выпущенных документов Фстэк, а не отсебятины какой то.)

Автор: oko | 67897 28.12.2016 09:48
to Dfg
Парадокс же, опять-таки говоренный-переговоренный не раз: если нет нмд, четко определяющего, как должно выглядеть 'нечто' (в нашем случае - обоснование компенсации) - ты не прав в любом случае (что при его наличии, что при отсутствии). Единственный более-менее утвержденный вариант - признать угрозу неактуальной еще на этапе моделироввания. И там привести обоснование, а не отдельным ворохом бумажек. И в техпроекте и далее (при аттестации) ссылаться на результаты Модели. Хотя опять-таки, никто явно не установил форму связи НМД для Модели и Требований 17 (21) приказа. Т.е. сейчас выводы Модели де юре отдельно, а выполнение Требований отдельно. И выполнение их только через сертиф.СЗИ. Вот такой бардак, ага :)

Автор: nekto | 67900 28.12.2016 17:12
Вопрос старожилам:

Есть объект с ГТ (АС) с СЗИ в т.ч. от ПЭМИН по линиям 220.
В помещении добавляют ВТСС с питанием от 220.
Плановый контроль был проведен ранее и очередной контроль будет, например, почти через год.
Будет нарушением - эксплуатация объекта после установки этого ВТСС и до момента проведения контроля? Какие есть правильные алгоритмы действий в такой ситуации?

Автор: Alex_kl | 67902 28.12.2016 17:40
2 nekto | 67900

Официальный запрос органу по аттестации, выдавшему Вам аттестат на объект, а дальше - в соответствии с его ответом. Если они подтвердят действие аттестата - работайте без проблем.

Автор: nekto | 67908 29.12.2016 09:52
to Alex_kl | 67902

Орган по аттестации (пока устно) говорит, что ответ будет типа "необходима оценка эффективности СЗИ (САЗ) от утечки за счет ПЭМИН по линии 220, поскольку неизвестно, как повлияет на линию добавление ВТСС"...

А если ВТСС будет подключено в той же точке, что и САЗ, или расположено ближе к САЗ, чем АРМ - всё равно нужен внеочередной контроль?

Автор: sekira | 67909 29.12.2016 11:31
"всё равно нужен внеочередной контроль?"

Решает только орган.. по условиям и месту. Вопросы " а правильно ли решил орган?" не к месту! Нет на руках ВСЕХ данных по ОИ!

Страницы: [181-200] < 201 202 203 204 205 206 207 208 209 210 211 212 >

Просмотров темы: 324282

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.