DK
Vladimir Karantaev
Очевидно читали. Замечания писали.
Это был вопрос ко всем участникам обсуждения. Я не понимаю, чем нужно думать, чтобы прикрываться фиговым листком, если последствием атаки может стать что-то резонансное.
Size: a a a
2019 December 17
VK
Alexey Lukatsky
Если заказчик хочет в чем-то убедиться сам, то и ПМИ он напишет правильную без оглядки на ФСТЭК и сертификату верить не будет. А если ему нужно прикрыться, то...
Наверное для сознательных и была эта норма введена в приказе 239. А потом странным образом ужесточена в приказе Минэнерго 1015 :)
SP
Сергей Евгеньевич ты что вообще в группе устроил? :)
Я накинул и сижу с попкорном ))
VK
Это был вопрос ко всем участникам обсуждения. Я не понимаю, чем нужно думать, чтобы прикрываться фиговым листком, если последствием атаки может стать что-то резонансное.
Соглашусь... Но за весь 2019 год знаю только один холдинг, кто в серьез занимался категорированием. использовали результаты HAZOP и реально считали показатели по 127-ПП.
DK
Vladimir Karantaev
Соглашусь... Но за весь 2019 год знаю только один холдинг, кто в серьез занимался категорированием. использовали результаты HAZOP и реально считали показатели по 127-ПП.
Не все делают это под знаменем ФЗ-187. У нас несколько проектов, в которых шумиха вокруг ФЗ стала поводом нормально оценить риски - хотя формально ни один свой объект они значимым не признали
SP
Это был вопрос ко всем участникам обсуждения. Я не понимаю, чем нужно думать, чтобы прикрываться фиговым листком, если последствием атаки может стать что-то резонансное.
Так такие листочки сейчас многие интеграторы заказчикам впаривают .. без оглядки на какие-либо требования. Да и вендора этим грешат, что уж тут скрывать.
SP
Основные риски, очевидно, остаются у заказчика, только он об этом не догадывается
DK
Sergey Pariev
Так такие листочки сейчас многие интеграторы заказчикам впаривают .. без оглядки на какие-либо требования. Да и вендора этим грешат, что уж тут скрывать.
"Ваш крокодил, вы его и спасайте". И, к слову, под КИИ требований к средстамм защиты пока нет. Совсем нет :) Только перечень мер защиты, реализацию которых субъект пока выбирает самостоятельно :)
SP
"Ваш крокодил, вы его и спасайте". И, к слову, под КИИ требований к средстамм защиты пока нет. Совсем нет :) Только перечень мер защиты, реализацию которых субъект пока выбирает самостоятельно :)
В смысле нет методического доумента о применении СЗИ для реализации мер из прказа?
SP
Если что-то заявляется как МЭ, то деваться уже некуда .. это МЭ ) И придется делать его оценку соответствия.
AL
Sergey Pariev
Если что-то заявляется как МЭ, то деваться уже некуда .. это МЭ ) И придется делать его оценку соответствия.
Из 160+ требований требования (РД) закрывают хорошо, если процентов 10
SP
Наверное можно сделать проект по защите в котором все тех. средства будут как-то называться, чтобы не попадать в существующие требования на СЗИ. Но так никто конено не делает. А если и сделает, то это золотой проект будет имхо.
SP
Alexey Lukatsky
Из 160+ требований требования (РД) закрывают хорошо, если процентов 10
Ни и что? В проекте нечто ставим на периметре. Называем его МЭ (ну так оно у вендора называется, куда делаться?) .. всё .. требования на МЭ (профиль) должен быть учтен при оценке соответствия
DS
Блин, срочно нужны какие-нибудь новости по теме. Настоящие новости
AL
Не должен. В 239-м приказе вообще нет упоминаний каких-либо классов продуктов. Там есть "антивирусная защита", "обнаружение атак", "защита периметра". Последний пункт вообще можно без МСЭ реализовать 😊
SP
Alexey Lukatsky
Не должен. В 239-м приказе вообще нет упоминаний каких-либо классов продуктов. Там есть "антивирусная защита", "обнаружение атак", "защита периметра". Последний пункт вообще можно без МСЭ реализовать 😊
Да и антивируснуя защиту можно без антивируса ) Я про другое же говорю.
SP
Я говорю, про ситуацию, когда в проекте используется конкретное средство, не сертифицированное. Но которое по функционалу претендует на МЭ (плюс у вендора оно называется МЭ).
SP
Сделайте мне его оценку соответствия, как это требуется в 239-м приказе.
AL
Блин, срочно нужны какие-нибудь новости по теме. Настоящие новости
AS
Блин, срочно нужны какие-нибудь новости по теме. Настоящие новости
Уже ищу ))