PK
Про сертификацию понятно, а еще как? Получать лицензию на ТЗКИ, смотреть в требования, смотреть в методичку по поиску уязвимостей и проводить анализ самостоятельно?
Size: a a a
2020 September 14
АС
Я немного не понял: теперь надо любому прикладному ПО, используемому в ЗОКИИ, проводить испытания типа фазинг теста, статики?
PK
Я немного не понял: теперь надо любому прикладному ПО, используемому в ЗОКИИ, проводить испытания типа фазинг теста, статики?
Ага
АС
С 23 года?
PK
я это понял следующим образом: разработчик приклада для ЗОКИИ должен это делать и с 1 января 2023 года другое использовать будет нельзя
А
Я немного не понял: теперь надо любому прикладному ПО, используемому в ЗОКИИ, проводить испытания типа фазинг теста, статики?
А как это будет подтверждаться? Сертификат ФСТЭКа?
N
я это понял следующим образом: разработчик приклада для ЗОКИИ должен это делать и с 1 января 2023 года другое использовать будет нельзя
но это для новых или модернизируемых систем. Если уже есть и работает, то можно не трогать и молиться, чтоб не надо было модернизировать ))))
АС
Азат
А как это будет подтверждаться? Сертификат ФСТЭКа?
Нет. Там же написано, что в проектной документации это подтверждается :))
А
То есть утверждения производителя, что, мол, я все протестировал будет достаточно?
АС
но это для новых или модернизируемых систем. Если уже есть и работает, то можно не трогать и молиться, чтоб не надо было модернизировать ))))
Хорошо, что в этот раз ФСТЭК России уточнил, что они имеют ввиду под модернизацией
АС
Азат
То есть утверждения производителя, что, мол, я все протестировал будет достаточно?
Насколько я понял это должен делать тот кто проектирует систему (модернизацию системы)
A
Олег Соболев
Всем доброго вечера! Ну хоть кто-нибудь относил к ЗОКИИ станки с ЧПУ? Поделитесь опытом!
Хороший вопрос.
А как вы планируете создавать систему защиты от несанкционированного доступа ?
А как вы планируете создавать систему защиты от несанкционированного доступа ?
А
Все равно не понял. Как проектировщик будет обосновывать выбор того или иного ПО? По наличию нескольких строк в брошюре производителя?
A
Алексей Буров
Добрый вечер, коллеги. может кто уже сталкивался. Вопрос, как бы вы стали строить систему защиты окии с актуальным нарушителем - иностранные тех.разведки?
Я бы привлёк лицензиата ФСТЭК с правом деятельности проектирование систем защиты информации.
АС
Азат
Все равно не понял. Как проектировщик будет обосновывать выбор того или иного ПО? По наличию нескольких строк в брошюре производителя?
П.29.4: на основе анализа материалов и документов, которые предоставит разработчик :)
DK
Нет ничего про российское происхождение, что хорошо. А вот требование соответствовать шестому или выше уровню доверия вызывает вопрос, как-то кроме сертификации этого можно добиться?
Там же написано, "в форме испытаний или приемки" :)
Фактически - да, нужно провести испытания, аналогичные сертификационным, но не обязательно в аккредитованных испытательной лаборатории.
Фактически - да, нужно провести испытания, аналогичные сертификационным, но не обязательно в аккредитованных испытательной лаборатории.
PK
Там же написано, "в форме испытаний или приемки" :)
Фактически - да, нужно провести испытания, аналогичные сертификационным, но не обязательно в аккредитованных испытательной лаборатории.
Фактически - да, нужно провести испытания, аналогичные сертификационным, но не обязательно в аккредитованных испытательной лаборатории.
т.е. Получать лицензию на ТЗКИ, смотреть в методичку по поиску уязвимостей и проводить анализ самостоятельно?
DK
т.е. Получать лицензию на ТЗКИ, смотреть в методичку по поиску уязвимостей и проводить анализ самостоятельно?
В теории - да, но на практике самостоятельно среднестатистический субъект КИИ этого проделать не сумеет. Но выбор возможных исполнителей шире, чем в случае сертификации
PK
хм, пойду покурю методичку на тему 6-го УД
N
П.29.4: на основе анализа материалов и документов, которые предоставит разработчик :)
Так понимаю, это уже вполне себе барьер для иностранных продуктов, особенно без полноценных представительств у нас, т.к. они могут не знать всех этих деталей и по формальному признаку не полностью соответствовать