PS
Добрый день. Возможно у кого-нибудь есть рыбы по документам КИИ (МУ, акты, приказы и т.п.) Могли бы вы поделиться?
Size: a a a
2020 November 23
V
Добрый день. Возможно у кого-нибудь есть рыбы по документам КИИ (МУ, акты, приказы и т.п.) Могли бы вы поделиться?
Шаблоны ОРД в методиках приложены https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf
PS
👍спасибо
B
Предлагаем работa
Felorida
Международная компания Флориды набирает :
1. знание компьютера.
2. знание По Социальные сети.
3.собрать информация о каждой продукции и услуг.
Отличная Зарплата
свяжитесь с нами
WhatsApp:+905434942957
Эл. Почта:
felorida-ru@mail.ru
Felorida
Международная компания Флориды набирает :
1. знание компьютера.
2. знание По Социальные сети.
3.собрать информация о каждой продукции и услуг.
Отличная Зарплата
свяжитесь с нами
WhatsApp:+905434942957
Эл. Почта:
felorida-ru@mail.ru
A
Предлагаем работa
Felorida
Международная компания Флориды набирает :
1. знание компьютера.
2. знание По Социальные сети.
3.собрать информация о каждой продукции и услуг.
Отличная Зарплата
свяжитесь с нами
WhatsApp:+905434942957
Эл. Почта:
felorida-ru@mail.ru
Felorida
Международная компания Флориды набирает :
1. знание компьютера.
2. знание По Социальные сети.
3.собрать информация о каждой продукции и услуг.
Отличная Зарплата
свяжитесь с нами
WhatsApp:+905434942957
Эл. Почта:
felorida-ru@mail.ru
Похоже из флориды только название
VI
Похоже из флориды только название
А по-моему, в чат пробрался спам-бот...
В
Поделитесь словарями для брута
И
Поделитесь словарями для брута
Брута ОКИИ или ЗОКИИ?
E
Иван Андреевич
Брута ОКИИ или ЗОКИИ?
Есть пара статей почитать на эту тему 😉
И
Есть пара статей почитать на эту тему 😉
🤣
2020 November 24
AG
Господа, приветсвую! Вопрос знатокам - необходимо ли проходить процедуру сертификации для применения на объектах КИИ программному обеспечению, которое не является средством защиты информации (МЭ, IPS, IDS и тд) или добавления его в какие-то списки разрешенного ПО (если такие есть, как в МО, например). Заранее спасибо.
V
Сертификация предусмотрена только для маршрутизаторов, смотрящих в интернет. А так, есть требования только для ЗОКИИ и только с 23 года. -29.3. Прикладное программное обеспечение, планируемое к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающее выполнение его функций по назначению (далее - программное обеспечение), должно соответствовать следующим требованиям по безопасности:
29.3.1. Требования по безопасной разработке программного обеспечения:
наличие руководства по безопасной разработке программного обеспечения;
проведение анализа угроз безопасности информации программного обеспечения;
наличие описания структуры программного обеспечения на уровне подсистем и результатов сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.3.2. Требования к испытаниям по выявлению уязвимостей в программном обеспечении:
проведение статического анализа исходного кода программы;
проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
проведение динамического анализа кода программы (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.3.3. Требования к поддержке безопасности программного обеспечения:
наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;
определение способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного обеспечения, о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности;
наличие процедур информирования субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.4. Выполнение требований по безопасности, указанных в подпунктах 29.3.1 - 29.3.3 пункта 29.3 настоящих Требований, оценивается лицом, выполняющим работы по созданию (модернизации, реконструкции или ремонту) значимого объекта и (или) обеспечению его безопасности, на этапе проектирования значимого объекта на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) программного обеспечения в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.
Результаты оценки включаются в проектную документацию на значимый объект (подсистему безопасности значимого объекта) и представляются субъекту критической информационной инфраструктуры.".
29.3.1. Требования по безопасной разработке программного обеспечения:
наличие руководства по безопасной разработке программного обеспечения;
проведение анализа угроз безопасности информации программного обеспечения;
наличие описания структуры программного обеспечения на уровне подсистем и результатов сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.3.2. Требования к испытаниям по выявлению уязвимостей в программном обеспечении:
проведение статического анализа исходного кода программы;
проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
проведение динамического анализа кода программы (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.3.3. Требования к поддержке безопасности программного обеспечения:
наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;
определение способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного обеспечения, о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности;
наличие процедур информирования субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.4. Выполнение требований по безопасности, указанных в подпунктах 29.3.1 - 29.3.3 пункта 29.3 настоящих Требований, оценивается лицом, выполняющим работы по созданию (модернизации, реконструкции или ремонту) значимого объекта и (или) обеспечению его безопасности, на этапе проектирования значимого объекта на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) программного обеспечения в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.
Результаты оценки включаются в проектную документацию на значимый объект (подсистему безопасности значимого объекта) и представляются субъекту критической информационной инфраструктуры.".
В
Вот вам, коллега , не спится
AG
Сертификация предусмотрена только для маршрутизаторов, смотрящих в интернет. А так, есть требования только для ЗОКИИ и только с 23 года. -29.3. Прикладное программное обеспечение, планируемое к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающее выполнение его функций по назначению (далее - программное обеспечение), должно соответствовать следующим требованиям по безопасности:
29.3.1. Требования по безопасной разработке программного обеспечения:
наличие руководства по безопасной разработке программного обеспечения;
проведение анализа угроз безопасности информации программного обеспечения;
наличие описания структуры программного обеспечения на уровне подсистем и результатов сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.3.2. Требования к испытаниям по выявлению уязвимостей в программном обеспечении:
проведение статического анализа исходного кода программы;
проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
проведение динамического анализа кода программы (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.3.3. Требования к поддержке безопасности программного обеспечения:
наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;
определение способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного обеспечения, о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности;
наличие процедур информирования субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.4. Выполнение требований по безопасности, указанных в подпунктах 29.3.1 - 29.3.3 пункта 29.3 настоящих Требований, оценивается лицом, выполняющим работы по созданию (модернизации, реконструкции или ремонту) значимого объекта и (или) обеспечению его безопасности, на этапе проектирования значимого объекта на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) программного обеспечения в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.
Результаты оценки включаются в проектную документацию на значимый объект (подсистему безопасности значимого объекта) и представляются субъекту критической информационной инфраструктуры.".
29.3.1. Требования по безопасной разработке программного обеспечения:
наличие руководства по безопасной разработке программного обеспечения;
проведение анализа угроз безопасности информации программного обеспечения;
наличие описания структуры программного обеспечения на уровне подсистем и результатов сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.3.2. Требования к испытаниям по выявлению уязвимостей в программном обеспечении:
проведение статического анализа исходного кода программы;
проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
проведение динамического анализа кода программы (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.3.3. Требования к поддержке безопасности программного обеспечения:
наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;
определение способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного обеспечения, о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности;
наличие процедур информирования субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).
29.4. Выполнение требований по безопасности, указанных в подпунктах 29.3.1 - 29.3.3 пункта 29.3 настоящих Требований, оценивается лицом, выполняющим работы по созданию (модернизации, реконструкции или ремонту) значимого объекта и (или) обеспечению его безопасности, на этапе проектирования значимого объекта на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) программного обеспечения в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.
Результаты оценки включаются в проектную документацию на значимый объект (подсистему безопасности значимого объекта) и представляются субъекту критической информационной инфраструктуры.".
Спасибо, а где написано, что требовнания по факту SDL к “другому” ПО вступают с 23 года только? )
В
239
AG
самую верхушку не прочел
V
Приказ ФСТЭК России от 20.02.2020 N 35
"О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239" Установить, что положения пунктов 7 и 8 изменений, прилагаемых к настоящему приказу, вступают в силу с 1 января 2023 г.
"О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239" Установить, что положения пунктов 7 и 8 изменений, прилагаемых к настоящему приказу, вступают в силу с 1 января 2023 г.
ЕО
Уважаемые коллеги, напомните пожалуйста требования к прохождению повышения квалификации по КИИ, продолжительность ни менее 72ч, учебная программа обязательна должна быть согласована со ФСТЭКом?
S
Елизавета Омелько
Уважаемые коллеги, напомните пожалуйста требования к прохождению повышения квалификации по КИИ, продолжительность ни менее 72ч, учебная программа обязательна должна быть согласована со ФСТЭКом?
Да, должна.
А
Елизавета Омелько
Уважаемые коллеги, напомните пожалуйста требования к прохождению повышения квалификации по КИИ, продолжительность ни менее 72ч, учебная программа обязательна должна быть согласована со ФСТЭКом?
с 1 января 2021 года вступает в силу новый приказ Минобразования:
http://publication.pravo.gov.ru/Document/View/0001202011020040?index=0&rangeSize=1
положение стало легче чем было, в частности ничего не говорится про согласование программ повышения квалификации ФСТЭК и ФСБ.
http://publication.pravo.gov.ru/Document/View/0001202011020040?index=0&rangeSize=1
положение стало легче чем было, в частности ничего не говорится про согласование программ повышения квалификации ФСТЭК и ФСБ.