AL
Sergey Pariev
В целом я не согласен ) Документы есть, они должны использоваться, т.к. других нет.
Есть. Пиши свою ПМИ, взяв за основу "ФСТЭКовскую", только убери всякую ненужную фигню и добавь нужную. Вот и все
Size: a a a
2019 December 17
AS
Sergey Pariev
Повторю свой вопрос .. ты начал писать ПМИ, для ПМИ надо выбрать требования .. ты начал их выбирать. Почему при выборе требований ты проигнорировал профиля МЭ?
Потому что я имею право ориентироваться на те требования какие сам считаю нужным. Точка! Как тебе?
SP
"Других нет" - это не правовое основание. Или есть нормативный акт, который опирается на ФЗ и прямо обязывает исполнять эти документы вот в таких случаях, или нет правовых основпний
Хорошо, вопрос - я написал ПМИ на МЭ. В них один сценарий - включть эту красную кнопку и посмотреть, что этот диод зажегся. Всё. Что мне скажет ФСТЭК при проверке (проверка в результате какого-нибудь инцидента или плановая)?
AS
Только риск в том что фантазия заказчика в ПиМИ может не совпасть с фантазией проверяющего регулятора. И сертификация этот риск расхождения фантазий снижает. Увы
☝️ а это уже особенности национальной ИБ
AL
Только риск в том что фантазия заказчика в ПиМИ может не совпасть с фантазией проверяющего регулятора. И сертификация этот риск расхождения фантазий снижает. Увы
Если придет регулятор с проверкой, то проверка должна быть на чем-то основана и любые выводы должны быть чем-то подкреплены. ПМИ я могу написать какой хочу и принять МСЭ и любое иное СрЗИ по нему. Регулятор претензий иметь не будет. С ним это, кстати, уже обговаривалось 😊
SP
Alexey Lukatsky
Есть. Пиши свою ПМИ, взяв за основу "ФСТЭКовскую", только убери всякую ненужную фигню и добавь нужную. Вот и все
Это совсем другое дело. Ну тут придется аргументировать, почему я эту фигня взял, а эту не взял.
SP
Но в основе должен быть профиль МЭ
AL
Sergey Pariev
Но в основе должен быть профиль МЭ
Нет
AS
Alexey Lukatsky
Нет
Алексей умеет аргументировать 🤣
AL
Sergey Pariev
Это совсем другое дело. Ну тут придется аргументировать, почему я эту фигня взял, а эту не взял.
Не придется. ФСТЭК вообще не будет смотреть в глубины ПМИ. Есть и хорошо. Они не уполномочены проводить оценку оценки соответствия, если это не касается сертификации
AL
Алексей умеет аргументировать 🤣
Ну потому что это уже обсуждалось с регулятором. И есть вариант решения задачи без сертификации 😊
SP
Alexey Lukatsky
Не придется. ФСТЭК вообще не будет смотреть в глубины ПМИ. Есть и хорошо. Они не уполномочены проводить оценку оценки соответствия, если это не касается сертификации
В данном случае это часть выполнения приказов ФСТЭК по КИИ. Вполне могут и экспертизу провести.
VK
Alexey Lukatsky
Не придется. ФСТЭК вообще не будет смотреть в глубины ПМИ. Есть и хорошо. Они не уполномочены проводить оценку оценки соответствия, если это не касается сертификации
Не будет смотреть в глубины ПМИ ? Это как? Пртокол испытаний тоже смотреть не будет? А если произошел инцидент? И в МЭ нет того функционала, который заявлен, но не проверен в ПМИ?
AL
Sergey Pariev
В данном случае это часть выполнения приказов ФСТЭК по КИИ. Вполне могут и экспертизу провести.
В приказах нет ни слова про содержание ПМИ 😊
SP
Alexey Lukatsky
В приказах нет ни слова про содержание ПМИ 😊
Есть слова про обязательность оценки соответствия )
AL
Vladimir Karantaev
Не будет смотреть в глубины ПМИ ? Это как? Пртокол испытаний тоже смотреть не будет? А если произошел инцидент? И в МЭ нет того функционала, который заявлен, но не проверен в ПМИ?
Ээээ, вот я сейчас задумался, а на каком основании ФСТЭК будет проводить РАССЛЕДОВАНИЕ ИНЦИДЕНТА? У них по НПА таких полномочий нет, в отличие от другого регулятора, которому на ПМИ и сертификат вообьще начхать
AL
Sergey Pariev
Есть слова про обязательность оценки соответствия )
Да. И если выбирается сертификация, то будьте добры выполнять требования ФСТЭК. А если не выбираете ее, то вольны делать то, что считаете нужным. Ну главное не борзеть конечно
AS
Sergey Pariev
Есть слова про обязательность оценки соответствия )
...Испытания (приемка) средств защиты информации проводятся отдельно или в составе значимого объекта критической информационной инфраструктуры в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом критической информационной инфраструктуры...
AL
...Испытания (приемка) средств защиты информации проводятся отдельно или в составе значимого объекта критической информационной инфраструктуры в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом критической информационной инфраструктуры...
Именно. Утвердил и все
VK
Alexey Lukatsky
Ээээ, вот я сейчас задумался, а на каком основании ФСТЭК будет проводить РАССЛЕДОВАНИЕ ИНЦИДЕНТА? У них по НПА таких полномочий нет, в отличие от другого регулятора, которому на ПМИ и сертификат вообьще начхать
А какой факт является основанием для внеплановой проверки ФСТЭК России? Я про расследование инцидента ничего не писал.