В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

КИИ 187-ФЗ

3249 membersпожаловаться на группу
2018 November 14

AL

Alex L in КИИ 187-ФЗ
Alexey Ivanov
Коллеги, подскажите, как нужно действовать в случае если первоначально был отослан во ФСТЭК один список ОКИИ, а при категорировании 1) добавились новые ОКИИ и 2) названия некоторых ОКИИ изменились? Нужно ли как то обосновывать несоответствия с первоначальным списком?
Отправил новый (в соответствии с рекомендофанной формой), в сопроводке указал причину. Вопросов не возникало
источник
14:54пожаловаться#1

Д

Дима Шахов in КИИ 187-ФЗ
1 - я дал отсылку на нормативный акт который позволяет правильно обосновать компенсирующие меры - думаю это полезно. 2. - пункт 1.6 https://fstec.ru/dokumenty-po-sertifikatsii-tzi/119-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/polozheniya/395-polozhenie-ot-27-oktyabrya-1995-g-n-199
fstec.ru
Положение от 27 октября 1995 г. N 199 - ФСТЭК России
Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
источник
14:56пожаловаться#2

AI

Alexey Ivanov in КИИ 187-ФЗ
Alex L
Отправил новый (в соответствии с рекомендофанной формой), в сопроводке указал причину. Вопросов не возникало
понял, спасибо. полагаю, что если уже готовы к отправке формы категорирования, то перечень снова отсылать не нужно. Причину несоответствия уже отправить в сопроводке к формам. Меньше бюрократии - проще ФСТЭКу :)
источник
14:58пожаловаться#3

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Дима Шахов
1 - я дал отсылку на нормативный акт который позволяет правильно обосновать компенсирующие меры - думаю это полезно. 2. - пункт 1.6 https://fstec.ru/dokumenty-po-sertifikatsii-tzi/119-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/polozheniya/395-polozhenie-ot-27-oktyabrya-1995-g-n-199
fstec.ru
Положение от 27 октября 1995 г. N 199 - ФСТЭК России
Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
Я имел в виду тезис "СЗИ - только сертифицированное" :)
источник
14:59пожаловаться#4

AL

Alex L in КИИ 187-ФЗ
Дима Шахов
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument там на странице 15 про компенсирующие меры. А вообще я логикой руководствуюсь. Если бы было все иначе и средствами защиты считалось бы все подряд, то зачем тогда вообще сертификация.
fstec.ru
Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. - ФСТЭК России
Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
Так ведь это для госов+методика, а не приказ
источник
14:59пожаловаться#5

Д

Дима Шахов in КИИ 187-ФЗ
Alex L
Так ведь это для госов+методика, а не приказ
А для КИИ будет особый подход да? противоречащий госам ))) И когда вдруг у госов будеи ОКИИ то что делать?
источник
15:00пожаловаться#6

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Дима Шахов
А для КИИ будет особый подход да? противоречащий госам ))) И когда вдруг у госов будеи ОКИИ то что делать?
Именно :) И методичка будет другая
источник
15:00пожаловаться#7

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Дима Шахов
А для КИИ будет особый подход да? противоречащий госам ))) И когда вдруг у госов будеи ОКИИ то что делать?
Госам - госово+КИИ, остальным - только КИИ
источник
15:01пожаловаться#8

Д

Дима Шахов in КИИ 187-ФЗ
Dmitry Kuznetsov
Именно :) И методичка будет другая
Посмотрим )
источник
15:01пожаловаться#9

SP

Sergey Pariev in КИИ 187-ФЗ
Dmitry Kuznetsov
Давайте в вопросах ФЗ-187 руководствоваться не "я считаю", а нормативными документами. Ничего подобного в нормативных документах нет.

В соответствии с приказом 239 меры защиты могут реализовываться любыми средствами защиты, в том числе и не сертифицированными
Немного поправлю .. не любыми .. а прошедшими оценку соответствия "в формах обязательной сертификации, испытаний или приемки"
источник
15:02пожаловаться#10

SP

Sergey Pariev in КИИ 187-ФЗ
Sergey Pariev
Немного поправлю .. не любыми .. а прошедшими оценку соответствия "в формах обязательной сертификации, испытаний или приемки"
А в части криптографической защиты "в соответствии с законодательством РФ" )
источник
15:03пожаловаться#11

SP

Sergey Pariev in КИИ 187-ФЗ
Sergey Pariev
Немного поправлю .. не любыми .. а прошедшими оценку соответствия "в формах обязательной сертификации, испытаний или приемки"
В этой связи ждём методичку по поиску уязвимостей от фстэка .. может сильно осложнить оценку соответствия без серьификации
источник
15:06пожаловаться#12

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Sergey Pariev
В этой связи ждём методичку по поиску уязвимостей от фстэка .. может сильно осложнить оценку соответствия без серьификации
Не осложнит. Поспойлерю: она не распространяется на испытания и приемку, которые проводятся при создании ИС :)
источник
15:09пожаловаться#13

SP

Sergey Pariev in КИИ 187-ФЗ
Dmitry Kuznetsov
Не осложнит. Поспойлерю: она не распространяется на испытания и приемку, которые проводятся при создании ИС :)
Испытания и приёмку ИС или средства защиты? Речь идёт о втором.
источник
15:21пожаловаться#14

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Sergey Pariev
Испытания и приёмку ИС или средства защиты? Речь идёт о втором.
А без разницы. Испытания ИС, испытания СЗИ как части ИС и сертификационные испытания СЗИ регулируются одним и тем же стандартом.

А методичка по НДВ и уязвимостям описывает совсем другое.
источник
15:24пожаловаться#15

SP

Sergey Pariev in КИИ 187-ФЗ
Dmitry Kuznetsov
А без разницы. Испытания ИС, испытания СЗИ как части ИС и сертификационные испытания СЗИ регулируются одним и тем же стандартом.

А методичка по НДВ и уязвимостям описывает совсем другое.
Если будет методичка, уже будет нельзя сказать "а мы поискали уязвимости как смогли" )
источник
15:27пожаловаться#16

SP

Sergey Pariev in КИИ 187-ФЗ
Dmitry Kuznetsov
А без разницы. Испытания ИС, испытания СЗИ как части ИС и сертификационные испытания СЗИ регулируются одним и тем же стандартом.

А методичка по НДВ и уязвимостям описывает совсем другое.
А для чего же тогда методичка? Очевидно, что не (только) для лабораторий
источник
15:28пожаловаться#17

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Sergey Pariev
Если будет методичка, уже будет нельзя сказать "а мы поискали уязвимости как смогли" )
"Оценка соответствия в форме испытаний или приемки" и "анализ уязвимостей" - это разные активности, относящиеся к разным нормам 239 прикпза
источник
15:28пожаловаться#18

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Sergey Pariev
А для чего же тогда методичка? Очевидно, что не (только) для лабораторий
Для сертификации СЗИ (для лабораторий) и для жизненного цикла разработки безопасного ПО (для разработчика ПО). В работе еще одна методичка - по анализу уязвимостей ИС. Там совсем другой объект анализа и совсем другие действия по анализу.
источник
15:29пожаловаться#19

SP

Sergey Pariev in КИИ 187-ФЗ
Dmitry Kuznetsov
"Оценка соответствия в форме испытаний или приемки" и "анализ уязвимостей" - это разные активности, относящиеся к разным нормам 239 прикпза
Это да, но я про другое немного .. с появлением методички, возможно, придется что-то дополнительное включать в пми
источник
15:32пожаловаться#20