АП
12 Gramm
Добавлю. При постановке задачи надо убедится, что не только тебя правильно поняли, но при этом есть силы и ресурсы для выполнения этой задачи.
Про ресурсы то я и позабыл😁
Size: a a a
2021 March 06
АС
вот даже ФСТЭК так не считает и почему то пишет для КИИ, что ГИС и ИСПДн (отнесенные к ЗОКИИ) дополнительно защищаются по 21 и 17 приказу
Приказы отличаются мероприятиями по защите, а вот меры одинаковые. Ну, решил так ФСТЭК, наверное, есть какой-то план
V
Классики литературы давно уже описали в своих великолепных произведениях всю ситуацию с благими пожеланиями, но которые никак не обеспечены.
V
Андрей Степанов
Приказы отличаются мероприятиями по защите, а вот меры одинаковые. Ну, решил так ФСТЭК, наверное, есть какой-то план
выложите таблицу соответствия мер 21/17/239, пожалуйста. Вам очень многие субъекты КИИ будут благодарны. Серьезно
АС
Серьезно, она уже есть
АП
Ещё во времена Союза в безопасности делались разъяснения, как трактовать и выполнять требования. Сейчас же кто в лес, кто по дрова, если до сих пор споры идут, как трактовать определения, на местах у проверяющих мнения разнятся. Но зато продвижение передового опыта никак неорганизовано. Они, видите ли не уполномочены трактовать, а проверять уполномочены.
АС
С новой методикой разница в мерах будет стремиться к нулю
V
Андрей Степанов
Серьезно, она уже есть
поделитесь, пожалуйста
АС
АС
Она?
V
Андрей Степанов
Она?
нет. Она вообще про другое. И автор честно указывает - Пр этом заодно исправил мелкие опечатки (перепутанные 0 и О, 3 и З, лишние пробелы и проч.) и в очередной раз убедился, что Приказы ФСТЭК нуждаются в гармонизации.
В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.
Например, мера с одним и тем же кодом ЗИС.21:
в приказе 17 описана как: «Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы»,
в приказах 31 и 239 обозначает: «Запрет несанкционированной удаленной активации периферийных устройств»,
а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).
В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.
Например, мера с одним и тем же кодом ЗИС.21:
в приказе 17 описана как: «Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы»,
в приказах 31 и 239 обозначает: «Запрет несанкционированной удаленной активации периферийных устройств»,
а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).
АП
нет. Она вообще про другое. И автор честно указывает - Пр этом заодно исправил мелкие опечатки (перепутанные 0 и О, 3 и З, лишние пробелы и проч.) и в очередной раз убедился, что Приказы ФСТЭК нуждаются в гармонизации.
В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.
Например, мера с одним и тем же кодом ЗИС.21:
в приказе 17 описана как: «Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы»,
в приказах 31 и 239 обозначает: «Запрет несанкционированной удаленной активации периферийных устройств»,
а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).
В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.
Например, мера с одним и тем же кодом ЗИС.21:
в приказе 17 описана как: «Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы»,
в приказах 31 и 239 обозначает: «Запрет несанкционированной удаленной активации периферийных устройств»,
а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).
+
АС
По всей видимости мы о разных вещах говорили
АС
Я говорил, что меры похожи, в целом. Ну, есть разные трактовки, так же, как и компенсирующие меры 21 и 17 трактуют по-разному
АС
Что в целом, в общей картине мира это меняет?
V
ну то есть, пришли такие аттестаторы и пишут. Мы приказ 239 не знаем, но субъект сделал что то похожее на выполнение 17 приказа, который мы знаем. Держи аттестат.
АС
Вы сейчас рассказали про аттестацию одной ФГИС, одним большим интегратором 😂
АС
Ладно, попытка защитить ФСТЭК провалилась
V
Андрей Степанов
Вы сейчас рассказали про аттестацию одной ФГИС, одним большим интегратором 😂
так это ФСТЭК такую ситуацию создал
АС
Ну, не Валерий. Это интегратор попытался сумничать