В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

КИИ 187-ФЗ

3903 membersпожаловаться на группу
2021 March 01

ВН

Виталий Нех... in КИИ 187-ФЗ
В рамках аудита оно является как обним из завершающих документов
источник
10:51пожаловаться#1

ВН

Виталий Нех... in КИИ 187-ФЗ
Max
Коллеги, хотели бы привлечь стороннюю организацию для экспертной оценки качества работ по защите объектов КИИ. В частности необходимо будет оценить два момента:
а) достаточности мер технической защиты ( оценка проекта технической защиты)
б) достаточности организационных мероприятий (оценка разработанных документов на выполнение требований законодательства).

Посоветуете к кому можно обратиться? Желателен опыт защиты объектов КИИ оператора связи.
У вас только проект системы защиты?
источник
10:52пожаловаться#2

N

N S M in КИИ 187-ФЗ
Андрей Боровский
Вам шашечки или ехать?
Мне шашечки с которыми у меня потом не будет проблем.) чтобы ехать.
источник
10:54пожаловаться#3

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Виталий Нех
В рамках аудита оно является как обним из завершающих документов
Аудит включает в себя тестирование на проникновение? Если нет, то такое заключение - профанация.
источник
10:56пожаловаться#4

N

N S M in КИИ 187-ФЗ
Dmitry Kuznetsov
Аудит включает в себя тестирование на проникновение? Если нет, то такое заключение - профанация.
+++
источник
10:56пожаловаться#5

АП

Алексей П in КИИ 187-ФЗ
Dmitry Kuznetsov
Аудит включает в себя тестирование на проникновение? Если нет, то такое заключение - профанация.
у заказчика только "оценка проекта технической защиты", так что пока все только на бумаге))
источник
10:57пожаловаться#6

N

N S M in КИИ 187-ФЗ
К примеру в рамках ГОСТа 57580 для финансовых организаций. Во всех остальных случаях такое экспертное заключение выходит за рамки действия лицензирования по ТЗКИ) но очень подходит для отмыва финансов)
источник
10:58пожаловаться#7

АБ

Андрей Боровский... in КИИ 187-ФЗ
Dmitry Kuznetsov
Аудит включает в себя тестирование на проникновение? Если нет, то такое заключение - профанация.
Пентестом можно назвать и банальное сканирование сканером. Четких методик, требование и стандартов к данной услуге в России нет :)
источник
11:00пожаловаться#8

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Алексей П
у заказчика только "оценка проекта технической защиты", так что пока все только на бумаге))
А по бумаге в принципе невозможно дать заключение о достаточности мер защиты.

Достаточность мер защиты оценивается при приемке в ходе анализа уязвимостей. Аудитор может добросовестно счесть, что прям все меры защиты реализованы и их достаточно, А анализ уязвимостей покажет, что это не так. Просто потому, что документация не отражает все нюансы. А чаще всего вообще не имеет ничего общего с реальностью
источник
11:01пожаловаться#9

АП

Алексей П in КИИ 187-ФЗ
Андрей Боровский
Пентестом можно назвать и банальное сканирование сканером. Четких методик, требование и стандартов к данной услуге в России нет :)
главное сканер взять попроще, чтобы совсем ничего не нашел))
источник
11:01пожаловаться#10

АБ

Андрей Боровский... in КИИ 187-ФЗ
Алексей П
главное сканер взять попроще, чтобы совсем ничего не нашел))
Я художник, я так вижу!
источник
11:02пожаловаться#11

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Андрей Боровский
Пентестом можно назвать и банальное сканирование сканером. Четких методик, требование и стандартов к данной услуге в России нет :)
Ну, все таки даже межу "хоть какой-то делаем" и "ваше не делаем" большая разница :)
источник
11:02пожаловаться#12

M

Max in КИИ 187-ФЗ
Dmitry Kuznetsov
А по бумаге в принципе невозможно дать заключение о достаточности мер защиты.

Достаточность мер защиты оценивается при приемке в ходе анализа уязвимостей. Аудитор может добросовестно счесть, что прям все меры защиты реализованы и их достаточно, А анализ уязвимостей покажет, что это не так. Просто потому, что документация не отражает все нюансы. А чаще всего вообще не имеет ничего общего с реальностью
Вы серьезно?
источник
11:03пожаловаться#13

АБ

Андрей Боровский... in КИИ 187-ФЗ
Dmitry Kuznetsov
А по бумаге в принципе невозможно дать заключение о достаточности мер защиты.

Достаточность мер защиты оценивается при приемке в ходе анализа уязвимостей. Аудитор может добросовестно счесть, что прям все меры защиты реализованы и их достаточно, А анализ уязвимостей покажет, что это не так. Просто потому, что документация не отражает все нюансы. А чаще всего вообще не имеет ничего общего с реальностью
Аудиторов по ИБ в России не делают. Требований к этике поведения нет. СРО тоже.
источник
11:03пожаловаться#14

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Max
Вы серьезно?
Абсолютно. Поэтому в приказах ФСТЭК и появилось требование проводить пентест в ходе приемки
источник
11:03пожаловаться#15

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Анализ документации способен выявить совсем уж очевидные недостатки, и только
источник
11:04пожаловаться#16

M

Max in КИИ 187-ФЗ
оценка проекта нужна для понимания что на стадии проектирования не совершены ошибки, которые дорого потом обойдутся. А пентесты - это совсем другая история.
источник
11:04пожаловаться#17

N

N S M in КИИ 187-ФЗ
Андрей Боровский
Аудиторов по ИБ в России не делают. Требований к этике поведения нет. СРО тоже.
И данный вид не подлежит лицензированию. В таком случае что Вам мешает "дядю Васю с курсами по КИИ в объеме 72 часа" ?))
источник
11:04пожаловаться#18

V

Valery Komarov in КИИ 187-ФЗ
а НПА никто не хочет соблюдать? Для проведения внешней оценки привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).
источник
11:06пожаловаться#19

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Max
оценка проекта нужна для понимания что на стадии проектирования не совершены ошибки, которые дорого потом обойдутся. А пентесты - это совсем другая история.
Это немножко другая постановка задачи. Экспертиза проектной документации на предмет совсем уж явных косяков - да, такое многие делают.

Но в первоначально формулировке вы писали про достаточность - её на основе бумаги не оценить
источник
11:06пожаловаться#20