Какие-то сейчас создаются, под модернизацию каких-то бюджеты закладываются сейчас, с завершением работ через два-три года. Поэтому ответ, который учитывает только сегодняшний день, вводит спрашивающего в заблуждение.

Сертифицированные только для ГИС, ГТ и систем попадающих под 31 ДСП приказ. В остальном, посмотрите методический документ - методику анализа уязвимостей и НДВ.... А там решите - сами вытяните или нет

Приказ то свеженький 76ой, я его ещё не видел на бумаге.

Чтобы заложить требования их надо знать, например по 131, ныне уже почти почившему, 5 уровень доверия почти не достижим на таких испытаниях, впрочем как и 5+ оуд до него

Само собой. Я поэтому и встрял - ваш ответ со стороны воспринимается как "да забейте, их нужно применять, только если сами так решите".

Ещё год моратория или есть время чтобы сделать категорирование https://vk.com/wall-10478675_173078

На самом деле, я пытаюсь донести людям наоборот - требования надо закладывать в ТЗ, именно ТРЕБОВАНИЯ, с показателями эффективности, с доверием, обоснованно. Почему-то не понимают , что оценка соответствия в форме приемки и испытаний - тот еще треш, к форме, они должны разработать показатели и содержание процедур... Кстати , старый 131 приказ не содержал методологии проверки, как например, 18045. Есть только анализ уязвимостей - там все хорошо, но очень тяжело.
Ещё будем разбираться по новому приказу, но уже сейчас виден не стыковка в потенциале нарушителя.... 6 уровень доверия это базовый, и если зо кии 2 категории - то опасен уже средний...

С этими пояснениями вы все правильно пишете. Самостоятельное применение требований к УД - это тот еще геморрой. А учитывая, что требование распространяется только на наложенные СЗИ, потребителю проще ориентироваться на сертифицированные СЗИ, чем в эту историю впрягаться.

Ваш первый ответ воспринимался совсем иначе, отсюда и негативная реакция на него.

Ну видимо да)))) каждый день такую ситуацию разбираем, бесполезно - все оценка соответствия наше все.... Я уже и таблички рисую вот ндв 4 говорили тяжело - вот смотрите даже с 6 уровнем 131 приказа сравниться не может, добавим сюда полное отсутствие методического обеспечения этой беды. Как и что делать и красиво оформлять понимают только в аккредитованных органах сертификации и испытательных лабораториях...
К сожалению, курсы где все это расскажут - покажут откроются не скоро. К людям которые могут это сделать на почти любом объекте - digital security, positive tehnologies, kaspersky, infowath - обращаются в очень редких случаях

Коллеги, добрый день. Подскажите пожалуйста, какая сейчас актуальная практика в случае, если в субъекте КИИ по результатам категоризации не выявлены ОКИИ (вообще не выявлены). Нужно ли по Вашему в этом случае согласовывать эту позицию со ФСТЭК и если "Да", то на каком основании?

А почему согласовывать? Разве есть какое-то согласование в отличном от Вашего случае?

Есть перечень объектов, в теч. года с его появления делаете категорирование, акты во ФСТЭК. Такой был алгоритм.

Все правильно. Но вот ситуация, когда в субъекте КИИ нет перечня ОКИИ :)

А это для чего?

Извините, сбило с толку Ваше: "по результатам категорирования".

Нет окии, нет субъекта. Нет необходимости вообще 187фз выполнять. Что вы собрались с фстэк согласовать? Что вы не субъект КИИ?

Чат для обсуждения тонкостей законодательства по информационной безопасности.

А в этом чате этого нельзя делать?
Или это конкурирующий ресурс?

Согласовывать не нужно . В случае запросов из прокуратуры например по выполнению 187 фз ( представим вы в теории в одной из области подходите ) можете сделать комиссию , и заключение что объектов подлежащих категорирования нет. И все. Сослаться на него

Благодарю