DK
сертификация по Профилям включает проверку на НДВ
Нет
Size: a a a
2019 July 19
DK
Уже нет
Д
То есть сейчас опубликованный на сайте фстэк ПРОФИЛЬ ЗАЩИТЫ МЕЖСЕТЕВЫХ ЭКРАНОВ ТИПА «А», ЧЕТВЕРТОГО КЛАССА ЗАЩИТЫ, ИТ.МЭ.А4.ПЗ не актуален?
DK
То есть сейчас опубликованный на сайте фстэк ПРОФИЛЬ ЗАЩИТЫ МЕЖСЕТЕВЫХ ЭКРАНОВ ТИПА «А», ЧЕТВЕРТОГО КЛАССА ЗАЩИТЫ, ИТ.МЭ.А4.ПЗ не актуален?
Актуален, но только в части функциональных требований. Действие компонентов доверия прекращено, заявителям предписано переоформить сертификаты под новые требования доверия. Тем, кто не переоформит, ФСТЭК с 1 января может начать приостанавливать действие сертификатов.
Сходу номер информационного сообщения не помню, попозже пришлю
Сходу номер информационного сообщения не помню, попозже пришлю
DK
Во, нашел.
"Кроме того, до внесения соответствующих изменений в нормативные правовые акты ФСТЭК России, устанавливающие требования по безопасности информации к средствам защиты информации, с 1 июня 2019 г. при сертификации не подлежат применению пункт 22 Требований к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638, пункт 22 Требований к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. N 28, пункт 18 Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119, пункт 17 Требований к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. N 87, пункт 20 Требований к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. N 9, пункт 18 Требований безопасности информации к операционным системам, утвержденных приказом ФСТЭК России от 19 августа 2016 г. N 119.
Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено."
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
"Кроме того, до внесения соответствующих изменений в нормативные правовые акты ФСТЭК России, устанавливающие требования по безопасности информации к средствам защиты информации, с 1 июня 2019 г. при сертификации не подлежат применению пункт 22 Требований к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638, пункт 22 Требований к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. N 28, пункт 18 Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119, пункт 17 Требований к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. N 87, пункт 20 Требований к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. N 9, пункт 18 Требований безопасности информации к операционным системам, утвержденных приказом ФСТЭК России от 19 августа 2016 г. N 119.
Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено."
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
Д
Во, нашел.
"Кроме того, до внесения соответствующих изменений в нормативные правовые акты ФСТЭК России, устанавливающие требования по безопасности информации к средствам защиты информации, с 1 июня 2019 г. при сертификации не подлежат применению пункт 22 Требований к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638, пункт 22 Требований к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. N 28, пункт 18 Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119, пункт 17 Требований к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. N 87, пункт 20 Требований к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. N 9, пункт 18 Требований безопасности информации к операционным системам, утвержденных приказом ФСТЭК России от 19 августа 2016 г. N 119.
Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено."
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
"Кроме того, до внесения соответствующих изменений в нормативные правовые акты ФСТЭК России, устанавливающие требования по безопасности информации к средствам защиты информации, с 1 июня 2019 г. при сертификации не подлежат применению пункт 22 Требований к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638, пункт 22 Требований к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. N 28, пункт 18 Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119, пункт 17 Требований к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. N 87, пункт 20 Требований к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. N 9, пункт 18 Требований безопасности информации к операционным системам, утвержденных приказом ФСТЭК России от 19 августа 2016 г. N 119.
Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено."
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
Да, я тоже нашел и прочитал, спасибо за информацию, не знал
2019 July 21
MR
Коллеги, а вообще есть у кого-то типовое понимание, что является КИИ регионального уровня. Ну например, ЕГР ЗАГС, 112, ОРВД, тензор, контур, оповещение граждан, ну тд резонансные системы.
Может уже кто работал над таким перечнем?
Требования требованиями. а реальность реальностью. Меня бы интересовал понятный перечень что этим может быть.
В условиях непонятности, - руководителям это не нужно. Но реальность то она другая.
Может уже кто работал над таким перечнем?
Требования требованиями. а реальность реальностью. Меня бы интересовал понятный перечень что этим может быть.
В условиях непонятности, - руководителям это не нужно. Но реальность то она другая.
M
Коллеги, а вообще есть у кого-то типовое понимание, что является КИИ регионального уровня. Ну например, ЕГР ЗАГС, 112, ОРВД, тензор, контур, оповещение граждан, ну тд резонансные системы.
Может уже кто работал над таким перечнем?
Требования требованиями. а реальность реальностью. Меня бы интересовал понятный перечень что этим может быть.
В условиях непонятности, - руководителям это не нужно. Но реальность то она другая.
Может уже кто работал над таким перечнем?
Требования требованиями. а реальность реальностью. Меня бы интересовал понятный перечень что этим может быть.
В условиях непонятности, - руководителям это не нужно. Но реальность то она другая.
Михаил, сами критерии они не позволяют сделать типовое понимание. Многое зависит от региона, плотности населения в том числе. Важно помнить: такие системы как водоснабжение и водоотведение, хоть напрямую в ФЗ не указаны являются таковыми исходя из положений ПП 127. Весь транспорт, который на электричестве. Данный вопрос больше к энергетикам.
MR
Да меня больше интересует не принцип, а отнесение реальных объектов.
Типа мы сделали так. Ярославский НПЗ долго мне рассказывал, что они не КИИ, потому что долбанет не много. Ну с дебилами на должностях сложно общаться.
Но я то понимаю, что человек разговаривает сам с собою.
Совокупный перечень, хоть его и нет, но имеет гриф С.
Так то, организация утилизации говна и поставки чистой воды, как объекты КВО у меня не вызывают вопросов. И так ясно что это.
Типа мы сделали так. Ярославский НПЗ долго мне рассказывал, что они не КИИ, потому что долбанет не много. Ну с дебилами на должностях сложно общаться.
Но я то понимаю, что человек разговаривает сам с собою.
Совокупный перечень, хоть его и нет, но имеет гриф С.
Так то, организация утилизации говна и поставки чистой воды, как объекты КВО у меня не вызывают вопросов. И так ясно что это.
MR
На самом деле для региона из перечней КВО и ПОО и замысла реального, составить такой перечень не так сложно. Может уже кто подумал :-)
MR
Ну уровень банальный, например, система датчиков анализа уровня воды на плотине .
Видеокамеры Центра принятия решений при губернаторе.
Беспилотные летательные аппараты анализа событий ЧС.
Системы анализа дорожной обстановке на базе видеокамер, систем ЦАФАП. правда, это отдельная тема переориентации целей, ну типа вместе заработка бабла в сторону безопасности движения, если такое произойдёт.
Да и учреждения здравоохранения в реальности интересны, тк у них задача получить денег от ТФОМС в начале то.
Видеокамеры Центра принятия решений при губернаторе.
Беспилотные летательные аппараты анализа событий ЧС.
Системы анализа дорожной обстановке на базе видеокамер, систем ЦАФАП. правда, это отдельная тема переориентации целей, ну типа вместе заработка бабла в сторону безопасности движения, если такое произойдёт.
Да и учреждения здравоохранения в реальности интересны, тк у них задача получить денег от ТФОМС в начале то.
2019 July 22
K
Коллеги, доброго дня всем! Перечень объектов обязан утверждать руководитель? А Председатель комиссии имеет такое право?
T
Перечень и акт утверждает только руководитель субъекта. Сведенья может утверждать лицо ответственное за безопасность объектов, либо руководитель субъекта.
K
Перечень и акт утверждает только руководитель субъекта. Сведенья может утверждать лицо ответственное за безопасность объектов, либо руководитель субъекта.
Благодарю!)
ИА
Добрый день! Было обсуждение приказа ФСБ № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах?
HV
Добрый день! Было обсуждение приказа ФСБ № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах?
ИА
Спасибо!
ИЖ
Уважаемые коллеги. Тут вопрос назрел. Изучаю нармативы ФСБ по госсопке и обработке инцидентов. Есть 2 понятия - компьютерный инцидент и компьютерная атака. Никто не сталкивался с определениями этих сущностей в нашем законодательстве?
AM
в названии чата есть неплохая такая подсказка
AM
