1. А причем здесь _форма_  оценки соответствия? ФСТЭК устанавливает требования к средству защиты, а уж в какой форме ты оцениваешь соответствие СЗИ этим требованиям - дело твое.

2. ФСТЭК всю жизнь устанавливал обязательные требования к средствам защиты в методических документах :)

Если это было определено в вышестоящих документах

Давай все-таки дождемся документа и посмотрим :)

Обязательность нынешних "Мер защиты информации в ГИС" как-то никем не оспаривается :)

Необходимо разработать программу и методику испытаний и провести по ней испытания, после чего ввести в промышленную эксплуатацию систему, что и будет оценкой соответствия.

Некорректное сравнение. В ГИСах только одна форма оценки предусмотрена

Некорректное сравнение. В ГИСах только одна форма оценки предусмотрена

Почему?
Приёмка. На соответствие ТЗ
Аттестация - на соответствие НПА

Мы про средства защиты информации

Еще раз: ты путаешь форму оценки соответствия (сертификация, самооценка, испытания) с требованиями, выполнение которых оценивается. Форма оценки может быть любой, но это не мешает ФСТЭК зафиксировать требования, выполнение которых дрлжно оцениваться

Согласись, что регулятор врядли будет вносить в методичку упоминание соответствие требованиям, часть из которых ДСП уже сейчас, а часть которых будет ДСП в ближайшем будущем

Согласись, что регулятор врядли будет вносить в методичку упоминание соответствие требованиям, часть из которых ДСП уже сейчас, а часть которых будет ДСП в ближайшем будущем

А зачем ФСТЭКу это? Уже ведь написано: "Функции безопасности средств защиты информации должны обеспечивать выполнение настоящих Требований." А глубину испытаний пусть сам СКИИ и определяет в зависимости от значимости. Надо - консультируется у ИЛ или просит помощи у них

Мне с мобильника неудобно гуглить документы, но в каком-то из действующих документов для ГИС и ИСПД прописано соответствие классов ИС и классов средств защиты. Ничего не мешает сделать то же самое для КИИ.

Но это все гадание по крфейной гуще - я не уверен, сто ФСТЭК это нужно, а черновик методички пока не видел.

Мне с мобильника неудобно гуглить документы, но в каком-то из действующих документов для ГИС и ИСПД прописано соответствие классов ИС и классов средств защиты. Ничего не мешает сделать то же самое для КИИ.

Но это все гадание по крфейной гуще - я не уверен, сто ФСТЭК это нужно, а черновик методички пока не видел.

Коллеги, нужна ваша помощь

Есть следующая задача: создается подсистема защиты для ЗОКИИ (АСУТП), не являющаяся ГИС, не обрабатывающая  ПДн и ГТ, в которой планируется   использовать:
- сертифицированные средства защиты (имеющие официальную  справку от производителя о совместимости с оборудованием и технологиями АСУТП)
- несертифицированные (используемые ввиду того, что у сертифицированных средств защиты данного типа нет наличия справки о совместимости с оборудованием и технологиями АСУТП) , т.е. даже при наличии желания, а главное финансов невозможно использовать сертифицированное средство

Согласно 3 абзацу пункта 28 приказа ФСТЭК 239, в случае использования несертифицированных средств защиты, необходимо проводить оценку соответствия в форме испытаний или приемки средств защиты

Согласно пункту 18 приказа ФСТЭК 235 в случае использования несертифицированных средств, необходимо проводить оценку соответствия в форме испытаний или приемки в соответствии с ФЗ 184 «О техническом регулировании»

Согласно ФЗ 184 «О техническом регулировании» оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту

Согласно пункту 12.7 приказа ФСТЭК 239 проводится комплекс организационных и технических мероприятий (испытаний) для подтверждения соответствия значимого объекта и его подсистемы защиты требованиям приказа ФСТЭК 239 (в соответствии с категорией) и требованиям технического задания

Исходя из этого вопрос: достаточно ли выполнение пункта 12.7. приказа ФСТЭК 239, т.е. проведения комплекса организационных и технических мероприятий (испытаний)  для подтверждения соответствия подсистемы защиты (включающие как сертифицированные и не сертифицированные средства защиты) требованиям приказа ФСТЭК №239 и требованиям технического задания, чтобы утверждать, что для несертифицированного средства защиты оценка соответствия проведена, т.е. 3 абзац пункт 28 приказа ФСТЭК 239 соблюден и можно составлять соответствующий документ?

Коллеги практический вопрос. Кто как реализует  ЗНИ.1 239 приказа учёт носителей. По части виртуализации. Есть например СХД, с множеством дисков в рейдах. Там *среди прочих* крутится виртуалка ОККИ. При этом она может кочевать по этим дискам в пределах СХД. Учёт автоматом на все сотни дисков СХД? (а вот на этих 100 дисках *возможно* появление окии)