@zlonov https://rucybersecurity.ru/uploads/default/original/1X/5b74e24cf9ea746d8f36e90476414ac3b2e15ad9.docx
По адресу постановление по внесению изменений в ПП-127, а не сравнение

Вот тут сравнение текстов: https://t.me/bureaucraticsecurity/227

С телефона скорее всего не показывает Word в режиме правки.

По п.9 Приказа 239 "Для значимых объектов, находящихся в эксплуатации, настоящие требования подлежат в рамках модернизации или дооснащения систем безопасности эксплуатируемых значимых объектов". Т.е. допустим мы прокатегорировали свои 3 объекта КИИ и нксмотря на то, что их система безопасности не соответствует требованиям к КИИ - ничего не меняем до плановой модернизации (если она будет)?

Не совсем, вы учтите, что ответственности за безопасность объекта лежит на вас и если, не дай бог, то по максималке... Но в рамках плановых проверок административку вам не предъявят

Но требования нет. За что административка?

"Административку вам не предъявят". Но если случится серьезный инцидент, есть риск получить уголовную статью.

Коллеги, нужна ваша помощь

Есть следующая задача: создается подсистема защиты для ЗОКИИ (АСУТП), не являющаяся ГИС, не обрабатывающая  ПДн и ГТ, в которой планируется   использовать:
- сертифицированные средства защиты (имеющие официальную  справку от производителя о совместимости с оборудованием и технологиями АСУТП)
- несертифицированные (используемые ввиду того, что у сертифицированных средств защиты данного типа нет наличия справки о совместимости с оборудованием и технологиями АСУТП) , т.е. даже при наличии желания, а главное финансов невозможно использовать сертифицированное средство

Согласно 3 абзацу пункта 28 приказа ФСТЭК 239, в случае использования несертифицированных средств защиты, необходимо проводить оценку соответствия в форме испытаний или приемки средств защиты

Согласно пункту 18 приказа ФСТЭК 235 в случае использования несертифицированных средств, необходимо проводить оценку соответствия в форме испытаний или приемки в соответствии с ФЗ 184 «О техническом регулировании»

Согласно ФЗ 184 «О техническом регулировании» оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту

Согласно пункту 12.7 приказа ФСТЭК 239 проводится комплекс организационных и технических мероприятий (испытаний) для подтверждения соответствия значимого объекта и его подсистемы защиты требованиям приказа ФСТЭК 239 (в соответствии с категорией) и требованиям технического задания

Исходя из этого вопрос: достаточно ли выполнение пункта 12.7. приказа ФСТЭК 239, т.е. проведения комплекса организационных и технических мероприятий (испытаний)  для подтверждения соответствия подсистемы защиты (включающие как сертифицированные и не сертифицированные средства защиты) требованиям приказа ФСТЭК №239 и требованиям технического задания, чтобы утверждать, что для несертифицированного средства защиты оценка соответствия проведена, т.е. 3 абзац пункт 28 приказа ФСТЭК 239 соблюден и можно составлять соответствующий документ?

Достаточно. В ТЗ и проектной документации описываем какие меры защиты и как должны выполняться СЗИ. В рамках испытаний - проверяем что эти требования выполняются.

Необходимо разработать программу и методику испытаний и провести по ней испытания, после чего ввести в промышленную эксплуатацию систему, что и будет оценкой соответствия.

Сперва все-таки ТЗ или хоть как-то формальзованные требования к испытываемым функциям. Испытания проводятся на соответствие чему-то.

А вот вопрос - предположим, что таким образом решили испытать СЗИ сходное по основным функциям с МЭ. Нужно ли рассматривать требования ФСТЭКа к МЭ (и соответствующие ПЗ) как методические документы для определения состава проверяемых функций? Насколько при проверке ФСТЭКом такой системы будет  требоваться полнота соответствия этим самым требованиям ФСТЭКа?

Не обязательно, но желательно.

Задача МЭ - реализовать техническую составляющую нескольких мер защиты (управление информационными потоками, сокрытие архитектуры ИС - это что навскидку вспомнил). Для этого нужна всего пара функций (фильтрация пакетов и NAT). Формально вы имеете право испытать только их. Но!

МЭ сам по себе тоже является объектом защиты, и ему требуются функции собственной безопасности.  Т.е. в нем должны быть выполнены требования к мерам защиты из 239 приказа (напртмер, в части иентификации и аутентификации пользователей, управления доступом и т.п.). И эти функции тоже должны быть испытаны.

Если вы возьмете профиль защиты на МЭ, то там 80% требований - это функции собственной безопасности МЭ. ФСТЭК считает, что этих функций достаточно для самозащиты МЭ  в объеме, необходимом для  соответствующей категории значимости ИС.

Если вы эти функции выкинете и тестировать не будете, вас никто не накажет (формального основания нет), но методически это неправильно. Можно сформулировать требования к этим функциям самостоятельно - кому-то это проще, чем разбираться в формулировках профиля щащиты, кому-то - нет

Добрый день всем.
А может кто-нибудь поделиться положением о подразделении по защите объектов КИИ в организации?

Предположим, что мы выкинули функции самозащиты этого СЗИ, например, по незнанию. Как вы говорите (и здесь я соглашусь) никто формально именно за это не будет наказывать. Но предположим далее, что случилась атака с ущербом и злоумышленник воспользовался вектором атаки на само СЗИ. Эксплуатант формально не нарушал требования эксплуатации. Кто будет в этом случае виноват (и в чем)? То что виновных найдут, я почти не сомневаюсь )

Давайте дождемся методиического документа по мерам защиты. Если там будет написано "для объектов категории значимости X должны применяться средства защиты класса Y", то да, МЭ придется испытывать на соответствие ПЗ МЭ класса Y. Не будет написано - значит, можно самостоятельно формулировать требования, и это не будет нарушением.

В методическом документе может быть написано многое, что не является в принципе обязательным ввиду статуса методического документа. Ну и не забываем, что методичка не может противоречить приказу. Приказ не ограничивает формы оценки соответствия

Всё-таки приказ ограничивает формы оценки соответствия. Если речь о 235-м.

1. А причем здесь _форма_  оценки соответствия? ФСТЭК устанавливает требования к средству защиты, а уж в какой форме ты оцениваешь соответствие СЗИ этим требованиям - дело твое.

2. ФСТЭК всю жизнь устанавливал обязательные требования к средствам защиты в методических документах :)

Но не так, как пишет Дима