SP
А производителю несертифицированного соедства предоставлять какие-то подтверждающие документы на эту тему
Size: a a a
2018 November 14
DK
Sergey Pariev
Это да, но я про другое немного .. с появлением методички, возможно, придется что-то дополнительное включать в пми
Нет, не придется :)
У методики есть четко определенная область применения (п. 1.3 и 1.4), и создание информационных систем в защищенном исполнении в нее не входит.
Обязанность применять средства защиты, созданные с соблюдением ГОСТ по безопасной разработке, в нормативке по КИИ не установлена.
Объем и процедура приемочных и прочих испытаний СЗИ установлены в ГОСТ 19.301, принятом в прошлом тысячелетии :) Анализ уязвимостей среди испытаний отсутствует.
Ничего не забыл? Тогда нет, не придется :)
У методики есть четко определенная область применения (п. 1.3 и 1.4), и создание информационных систем в защищенном исполнении в нее не входит.
Обязанность применять средства защиты, созданные с соблюдением ГОСТ по безопасной разработке, в нормативке по КИИ не установлена.
Объем и процедура приемочных и прочих испытаний СЗИ установлены в ГОСТ 19.301, принятом в прошлом тысячелетии :) Анализ уязвимостей среди испытаний отсутствует.
Ничего не забыл? Тогда нет, не придется :)
AE
Павел Луцик
Тут есть ещё одна проблема. Если, например зарубежному вендору нужно удаленно подключиться для решения технической проблемы по просьбе заказчика. В этом случае потребуется передача сертифицированного ПО VPN за территорию РФ и формально это импорт СКЗИ на территорию другого государства. А это вопрос непростой.
А что мешает обеспечить доступ вендору не в продуктивный контур, а в песочницу? Если очень нужен доступ именно к конкретному девайсу, можно вывести его в отдельный контур - и пущай себе вендор что хочет с ним делает...
ПЛ
К песочнице пускай подключается, используя любые средства, можно и без VPN.
SP
Нет, не придется :)
У методики есть четко определенная область применения (п. 1.3 и 1.4), и создание информационных систем в защищенном исполнении в нее не входит.
Обязанность применять средства защиты, созданные с соблюдением ГОСТ по безопасной разработке, в нормативке по КИИ не установлена.
Объем и процедура приемочных и прочих испытаний СЗИ установлены в ГОСТ 19.301, принятом в прошлом тысячелетии :) Анализ уязвимостей среди испытаний отсутствует.
Ничего не забыл? Тогда нет, не придется :)
У методики есть четко определенная область применения (п. 1.3 и 1.4), и создание информационных систем в защищенном исполнении в нее не входит.
Обязанность применять средства защиты, созданные с соблюдением ГОСТ по безопасной разработке, в нормативке по КИИ не установлена.
Объем и процедура приемочных и прочих испытаний СЗИ установлены в ГОСТ 19.301, принятом в прошлом тысячелетии :) Анализ уязвимостей среди испытаний отсутствует.
Ничего не забыл? Тогда нет, не придется :)
Подождем методики ) По поводу безопасной разработке - пример последних недель - СТО ФСК на цифровую подстанцию (вторичку) - первым пунктом в разделе ИБ идёт требование ГОСТ-а по безопасной разработке (оставшаяся часть почти полностью про КИИ)
SP
Имхо, это зарождение тренда требовать безопасную разработку
DK
Sergey Pariev
Подождем методики ) По поводу безопасной разработке - пример последних недель - СТО ФСК на цифровую подстанцию (вторичку) - первым пунктом в разделе ИБ идёт требование ГОСТ-а по безопасной разработке (оставшаяся часть почти полностью про КИИ)
СТО ФСК - это уже мем :)
И какой уровень доверия они заложили, не читая методичку?
И какой уровень доверия они заложили, не читая методичку?
SP
СТО ФСК - это уже мем :)
И какой уровень доверия они заложили, не читая методичку?
И какой уровень доверия они заложили, не читая методичку?
Уровень доверия заложен тех. политикой Россетей - это ОУД4 и НДВ4
DK
Sergey Pariev
Уровень доверия заложен тех. политикой Россетей - это ОУД4 и НДВ4
В тех политике используются уровни доверия и уровни контроля из ГОСТ 15408-3 и РД НДВ. Ни первого, ни второго документов со следующего года уже не будет :)
Так что это Россетям для начала придется свою техполитику актуализировать :)
Так что это Россетям для начала придется свою техполитику актуализировать :)
SP
В тех политике используются уровни доверия и уровни контроля из ГОСТ 15408-3 и РД НДВ. Ни первого, ни второго документов со следующего года уже не будет :)
Так что это Россетям для начала придется свою техполитику актуализировать :)
Так что это Россетям для начала придется свою техполитику актуализировать :)
Который год это про РД ндв слышу )
DK
Sergey Pariev
Который год это про РД ндв слышу )
Методичку на замену этому РД мы сейчас и обсуждаем, если что
DK
Методичка на замену ГОСТ 15408-3 тоже уже на согласовании
АС
К сожалению, в этом чатике довольно много людей, не знакомых с нормативкой и готовых поверить знающему человеку на слово :)
Поэтому было бы честно по отношению к ним аргументировать личное мнение отсылками к конкретным нормам. Тогда к их решение действительно подойдет характеристика "благоразумный", а не "кто-то сказал" :)
Поэтому было бы честно по отношению к ним аргументировать личное мнение отсылками к конкретным нормам. Тогда к их решение действительно подойдет характеристика "благоразумный", а не "кто-то сказал" :)
Угу. К сожалению мы есть. И даже в этом чатике. Подскажите пожалуйста, чтобы владеть прелметом, какой перечень номативных документов следует прочитать, понять, запомнить и держать в голове при обсуждении? Или первичны блоги авторитетных людей и высказывания на семинарах?
DK
Угу. К сожалению мы есть. И даже в этом чатике. Подскажите пожалуйста, чтобы владеть прелметом, какой перечень номативных документов следует прочитать, понять, запомнить и держать в голове при обсуждении? Или первичны блоги авторитетных людей и высказывания на семинарах?
Это сложно, если предварительно не понять систему взаимосвязей между документами. Система, на самом деле простая.
DK
Есть опрелеленные обязанности, которые доложен выполнять субъект в соответствии с ФЗ:
- категорировать ОКИИ;
- защищать ЗОКИИ;
- сообщать в ФСБ об инцидентах с ОКИИ.
Может, что-то еще - это то, что навскидку вспомнил
- категорировать ОКИИ;
- защищать ЗОКИИ;
- сообщать в ФСБ об инцидентах с ОКИИ.
Может, что-то еще - это то, что навскидку вспомнил
DK
По каждой обязанности установлен ответственный регулятор. Берем вторую - ответственный ФСТЭК
DK
У ФСТЭК на эту тему есть два основных документа: основополагающий 239 приказ и в помощь ему 235 приказ
DK
В каждом из приказов, опять же, описаны определенные обязанности. Если указано, что эта обязанность исполняется в соответствии вот с таким документом - добавляем документ в коллекцию и смотрим, какие обязанности устанавливает он.
DK
Если "в соответствии с законодательством РФ" - сами вы не разберетесь, потому что таких законов может быть множество.
DK
Если вообще нет никаких отсылок - действуете ро своему усмотрению