AE
Не затруднит обяснить почему OpenVPN -удаленное, а Vipnet-локальное? как то неочевидно
А AnyConnect? OpenConnect?
Size: a a a
2018 November 14
PK
Владимир Черкасов
А если речь идет о защите ЗОКИИ типа АСУ и никакие 17 и 330 нас не касаются?
Хотя если ваша АСУ это ИСУП в оборонно-промышленном комплексе, то надо. Так как 31-дсп приказ фстэк.
ВЧ
это да
ВЧ
или если вы додумались включить информацию, обрабатываемую в АСУ, в Перечень сведений составляющих коммерческую тайну - тогда 330 ПП)
ПЛ
Тут есть ещё одна проблема. Если, например зарубежному вендору нужно удаленно подключиться для решения технической проблемы по просьбе заказчика. В этом случае потребуется передача сертифицированного ПО VPN за территорию РФ и формально это импорт СКЗИ на территорию другого государства. А это вопрос непростой.
ВЧ
Я по-прежнему не вижу проблем использовать не сертифицированные СЗИ и СКЗИ в простых обычных АСУТП (не оборонка, не ГИС). И защиту удаленного (ладно, пусть это называется "локальный") с использованием любых VPN
T
Павел Луцик
Тут есть ещё одна проблема. Если, например зарубежному вендору нужно удаленно подключиться для решения технической проблемы по просьбе заказчика. В этом случае потребуется передача сертифицированного ПО VPN за территорию РФ и формально это импорт СКЗИ на территорию другого государства. А это вопрос непростой.
А если подрядчик на территории Рф? Передача сертифицированного ПО возможна? Кто на стороне подрядчика должен/имеет право настраивать?
Д
Владимир Черкасов
Я по-прежнему не вижу проблем использовать не сертифицированные СЗИ и СКЗИ в простых обычных АСУТП (не оборонка, не ГИС). И защиту удаленного (ладно, пусть это называется "локальный") с использованием любых VPN
Тогда это все компенсирующие меры имхо. Средства защиты на мой взгляд это только то что прошло сертификацию. Опять же не буква но смысл НПА. Компенсирующие меры можно внедрять после разработки ТЭО на их использование.
ПЛ
Подрядчик может сам купить клиентское ПО VPN и сам настроить.
ВЧ
Тогда это все компенсирующие меры имхо. Средства защиты на мой взгляд это только то что прошло сертификацию. Опять же не буква но смысл НПА. Компенсирующие меры можно внедрять после разработки ТЭО на их использование.
Любая предусмотренная форма подтверждения соответствия
Д
Владимир Черкасов
Любая предусмотренная форма подтверждения соответствия
Пока тольо сертификация. Техрегламентов на СЗИ и СКЗИ не видел.
ПЛ
Передача подрядчику сертифицированного ПО безвозмездно - думаю Ваши юристы/финансисты не обрадуются этому.
ПЛ
А если подрядчик на территории Рф? Передача сертифицированного ПО возможна? Кто на стороне подрядчика должен/имеет право настраивать?
Не вижу ограничений на то кто внутри подрядчика будет настраивать VPN.
AV
Павел Луцик
Подрядчик может сам купить клиентское ПО VPN и сам настроить.
Ключевая информация еще нужна. Если её заказчик передает, то нужна лицензия фсб (по 313 постановлению)
T
Ключевая информация еще нужна. Если её заказчик передает, то нужна лицензия фсб (по 313 постановлению)
Необходима лицензия у принимающей стороны?
S
Необходима лицензия у принимающей стороны?
У передающей, т.к. это распространение СКЗИ
AV
Да, у передающей. Т.е. либо у заказчика, либо у сервисного интегратора, либо сторонний УЦ (если скзи поддерживает)
ПЛ
Не в качестве спора. Есть много примеров, когда для подключения подрядчиков к своим ресурсам Организация использует сертифицированные VPN/СКЗИ. И при этом у Организации нет лицензии ФСБ.
AI
Коллеги, подскажите, как нужно действовать в случае если первоначально был отослан во ФСТЭК один список ОКИИ, а при категорировании 1) добавились новые ОКИИ и 2) названия некоторых ОКИИ изменились? Нужно ли как то обосновывать несоответствия с первоначальным списком?
RN
Павел Луцик
Не в качестве спора. Есть много примеров, когда для подключения подрядчиков к своим ресурсам Организация использует сертифицированные VPN/СКЗИ. И при этом у Организации нет лицензии ФСБ.
Это вопрос или утверждение ?