E
Обновления в 239 приказ ФСТЭК опубликованы для обсуждения https://regulation.gov.ru/projects#departments=48&npa=99311
Size: a a a
2020 February 06
VM
Алексей
Есть другие заправки. Вспомните, не так давно вирус-шифровальщик атаковал заправки крупных сетей
Есть в нашей необъятной такие области/регионы, в которых до следующей заправки рискуешь не доехать без допканистры. Соответственно, хакнули эту значимую заправку и может быть нанесёт вред здоровью жизни несостоявшихся клиентов заправки. А если ещё единственная заправка обслуживала станцию скорой помощи...
RN
Есть в нашей необъятной такие области/регионы, в которых до следующей заправки рискуешь не доехать без допканистры. Соответственно, хакнули эту значимую заправку и может быть нанесёт вред здоровью жизни несостоявшихся клиентов заправки. А если ещё единственная заправка обслуживала станцию скорой помощи...
Мне кажется не нужно перегибать с фантазией, с таким же успехом может расчитывать на падение метеорита.
АС
Обновления в 239 приказ ФСТЭК опубликованы для обсуждения https://regulation.gov.ru/projects#departments=48&npa=99311
Если примут изменения, в частности 32оц пункт, интересно как Мрт и рентген аппараты будут применяться, которые подключены к сети больницы (цифровые аппараты)
E
Обновления в 239 приказ ФСТЭК опубликованы для обсуждения https://regulation.gov.ru/projects#departments=48&npa=99311
По содержимому пояснительной записки и проекта - 239 теперь будет:
- выполнять поручение президента;
- требовать использовать в КИИ преимущественно отечественное ПО и оборудования (госам вреде без разницы на ещё одно упоминание, коммерсам привет!);
- добавляется оценка ПО и пр.
(Зарубежные компании из КИИ вытесняют всё сильней. На сколько каждая отрасль из 187 способна существовать сегодня на отечественном ПО и оборудовании - дававшие поручения не задумались, а вот «ложки» для тех.поддержки предусмотрели)
- выполнять поручение президента;
- требовать использовать в КИИ преимущественно отечественное ПО и оборудования (госам вреде без разницы на ещё одно упоминание, коммерсам привет!);
- добавляется оценка ПО и пр.
(Зарубежные компании из КИИ вытесняют всё сильней. На сколько каждая отрасль из 187 способна существовать сегодня на отечественном ПО и оборудовании - дававшие поручения не задумались, а вот «ложки» для тех.поддержки предусмотрели)
АС
По содержимому пояснительной записки и проекта - 239 теперь будет:
- выполнять поручение президента;
- требовать использовать в КИИ преимущественно отечественное ПО и оборудования (госам вреде без разницы на ещё одно упоминание, коммерсам привет!);
- добавляется оценка ПО и пр.
(Зарубежные компании из КИИ вытесняют всё сильней. На сколько каждая отрасль из 187 способна существовать сегодня на отечественном ПО и оборудовании - дававшие поручения не задумались, а вот «ложки» для тех.поддержки предусмотрели)
- выполнять поручение президента;
- требовать использовать в КИИ преимущественно отечественное ПО и оборудования (госам вреде без разницы на ещё одно упоминание, коммерсам привет!);
- добавляется оценка ПО и пр.
(Зарубежные компании из КИИ вытесняют всё сильней. На сколько каждая отрасль из 187 способна существовать сегодня на отечественном ПО и оборудовании - дававшие поручения не задумались, а вот «ложки» для тех.поддержки предусмотрели)
Беда в том, что еще заставляют чуть ли не самим сертифицировать ППО пунктом 29.5
В России сколько контор, которые могут сейчас такой анализ провести - 5-7?
В России сколько контор, которые могут сейчас такой анализ провести - 5-7?
VK
Сразу родился вопрос к авиации. Как в таком случае будет происходить работа с эйрбасами, боингами?
DK
Обновления в 239 приказ ФСТЭК опубликованы для обсуждения https://regulation.gov.ru/projects#departments=48&npa=99311
Спасибо!
Камрады, обратите внимание на новый пункт 29.2. Переводу на русский язык: "Несертифицированные средства защиты можно испытывать самостоятельно. Но если на данный вид средств защиты есть профиль, то испытывать их нужно точно так же, как это делается при сертификации на соответствие профилю. В том числе - анализировать исходники на наличие уязвимостей".
Камрады, обратите внимание на новый пункт 29.2. Переводу на русский язык: "Несертифицированные средства защиты можно испытывать самостоятельно. Но если на данный вид средств защиты есть профиль, то испытывать их нужно точно так же, как это делается при сертификации на соответствие профилю. В том числе - анализировать исходники на наличие уязвимостей".
SG
Спасибо!
Камрады, обратите внимание на новый пункт 29.2. Переводу на русский язык: "Несертифицированные средства защиты можно испытывать самостоятельно. Но если на данный вид средств защиты есть профиль, то испытывать их нужно точно так же, как это делается при сертификации на соответствие профилю. В том числе - анализировать исходники на наличие уязвимостей".
Камрады, обратите внимание на новый пункт 29.2. Переводу на русский язык: "Несертифицированные средства защиты можно испытывать самостоятельно. Но если на данный вид средств защиты есть профиль, то испытывать их нужно точно так же, как это делается при сертификации на соответствие профилю. В том числе - анализировать исходники на наличие уязвимостей".
А вариант, если это сделает кто-то для субъекта возможен?
DK
Sergey Gorodilov
А вариант, если это сделает кто-то для субъекта возможен?
Да, конечно. Это может сделать любой лицензиат, имеющий в лицензии ТЗКИ виды деятельности е1-е6 (цифра зависит от того, что это за средство защиты)
SG
Положим если такой лицензиат уже испытал какую нибудь сурикату на соответствие по сов. Поидее за этим может следовать тиражирование результатов испытаний?
DK
Нет, вы не поняли. Если вы - субъект КИИ, то вам нужен или сертификат конкретно на ваш экземпляр средства защиты, или кто-то (вы или ваш подрядчик лицензиат) должен провести для него сертификационные испытания (в полном объеме, но без привлечения ФСТЭК)
DK
Причем в полно объеме - это:
- в любом случае требуется провести анализ уязвимостей (зеродеев и НДВ)
- в любом случае требуется убедиться, что процесс разработки соответствует ГОСТ по безопасной разработке
- если есть подходящий профиль защиты, дополнительно нужно проверить, что выполняются функциональный требования
- в любом случае требуется провести анализ уязвимостей (зеродеев и НДВ)
- в любом случае требуется убедиться, что процесс разработки соответствует ГОСТ по безопасной разработке
- если есть подходящий профиль защиты, дополнительно нужно проверить, что выполняются функциональный требования
DK
Причем анализ уязвимостей требуется не только для СЗИ, но и для прикладного софта
SG
Это как раз понятно! Там и вопросы по доверию возникают серьезные. Но тем не менее без привлечения фстэк, значит и без регистрации сзи. А если профилей нет? Обычно же пишутся ту?
DK
Sergey Gorodilov
Это как раз понятно! Там и вопросы по доверию возникают серьезные. Но тем не менее без привлечения фстэк, значит и без регистрации сзи. А если профилей нет? Обычно же пишутся ту?
Если нет опубликованных требований, то оценивать соответствие им не требуется. А вот проводить анализ уязвимостей требуется в любом случае
PX
пункт 32 выглядит как необходимость 100% импортозамещания. ибо кто будет работать и что то гарантировать без техподдежки производителя....
я не так читаю?
я не так читаю?
PX
29.2 последнее предложение взорвало мозг - в отношении сзи испытания по 29.2 могут не проводится. в отношении чего они тогда проводиться должны?
PX
почему уровень сразу 5 доверия, а не 6?
M
ФСТЭК видимо таким образом подталкивает организации к категорированию