AK
есть методика по формированию "трудовых резервов" и прогнозу по обучению кадров в области ИБ. Оно всё ДСП
Size: a a a
2020 March 11
С
Вот тут выписка есть https://fstec.ru/tekhnicheskaya-zashchita-informatsii/ukomplektovanie-podrazdelenij
2020 March 12
IM
Всем привет! У кого-нибудь был положительный опыт дозванивания в отдел лицензирования ФСТЭК за последние 2 недели? Каждый вторник и четверг пытаюсь это сделать в течение полутора часов, тщетно ...
DF
Ilya Meylikhov
Всем привет! У кого-нибудь был положительный опыт дозванивания в отдел лицензирования ФСТЭК за последние 2 недели? Каждый вторник и четверг пытаюсь это сделать в течение полутора часов, тщетно ...
Я дозванивался сегодня. Во вторник - не дозвонился с 10 до 12 - занято и не берут, дозвонился в 16 - послали, сказали звонить только в заявленное время. Но я плотно сижу на телефоне с 10:00 и не редко получатся дозвониться только к 11:30. Просто методично нажимаем «перенабрать номер» каждый 30 секунд, и золотой ключик у вас в кармане...
IM
Я дозванивался сегодня. Во вторник - не дозвонился с 10 до 12 - занято и не берут, дозвонился в 16 - послали, сказали звонить только в заявленное время. Но я плотно сижу на телефоне с 10:00 и не редко получатся дозвониться только к 11:30. Просто методично нажимаем «перенабрать номер» каждый 30 секунд, и золотой ключик у вас в кармане...
Так вот почему я не могу дозвониться))
КР
Ilya Meylikhov
Так вот почему я не могу дозвониться))
😂👍
Ю
Я дозванивался сегодня. Во вторник - не дозвонился с 10 до 12 - занято и не берут, дозвонился в 16 - послали, сказали звонить только в заявленное время. Но я плотно сижу на телефоне с 10:00 и не редко получатся дозвониться только к 11:30. Просто методично нажимаем «перенабрать номер» каждый 30 секунд, и золотой ключик у вас в кармане...
Это хорошо, что телефон с кнопкой дозвона.
А кто-то пальцы стирает о дисковый аппарат 😂
А кто-то пальцы стирает о дисковый аппарат 😂
DF
А у кого-то автонабор при сигнале занято, Я, видимо из-за них так по долгу сижу на телефоне. ;)
АП
Коллеги, проконсультируйте, пожалуйста.
Мне необходимо тестировать компьютеры на предмет уязвимостей. Как быть, если уязвимость найдена не в сертифицированном СЗИ, а библиотеке dll, необходимой для его работы.
Теоретически она не входит в СЗИ, не записана в формуляре и т.д. Значит она не должна обновляться разработчиком по требованиям 55 приказа ФСТЭК и я могу сам ее обновить или нет?
Мне необходимо тестировать компьютеры на предмет уязвимостей. Как быть, если уязвимость найдена не в сертифицированном СЗИ, а библиотеке dll, необходимой для его работы.
Теоретически она не входит в СЗИ, не записана в формуляре и т.д. Значит она не должна обновляться разработчиком по требованиям 55 приказа ФСТЭК и я могу сам ее обновить или нет?
VM
Алексей П
Коллеги, проконсультируйте, пожалуйста.
Мне необходимо тестировать компьютеры на предмет уязвимостей. Как быть, если уязвимость найдена не в сертифицированном СЗИ, а библиотеке dll, необходимой для его работы.
Теоретически она не входит в СЗИ, не записана в формуляре и т.д. Значит она не должна обновляться разработчиком по требованиям 55 приказа ФСТЭК и я могу сам ее обновить или нет?
Мне необходимо тестировать компьютеры на предмет уязвимостей. Как быть, если уязвимость найдена не в сертифицированном СЗИ, а библиотеке dll, необходимой для его работы.
Теоретически она не входит в СЗИ, не записана в формуляре и т.д. Значит она не должна обновляться разработчиком по требованиям 55 приказа ФСТЭК и я могу сам ее обновить или нет?
Всё так
AZ
Алексей П
Коллеги, проконсультируйте, пожалуйста.
Мне необходимо тестировать компьютеры на предмет уязвимостей. Как быть, если уязвимость найдена не в сертифицированном СЗИ, а библиотеке dll, необходимой для его работы.
Теоретически она не входит в СЗИ, не записана в формуляре и т.д. Значит она не должна обновляться разработчиком по требованиям 55 приказа ФСТЭК и я могу сам ее обновить или нет?
Мне необходимо тестировать компьютеры на предмет уязвимостей. Как быть, если уязвимость найдена не в сертифицированном СЗИ, а библиотеке dll, необходимой для его работы.
Теоретически она не входит в СЗИ, не записана в формуляре и т.д. Значит она не должна обновляться разработчиком по требованиям 55 приказа ФСТЭК и я могу сам ее обновить или нет?
А откуда у вас понимание , что входит или нет? Смысл такой что при сертификции есть четко описание объекта оценки все что входит или нет, но вот так вот на глаз наверное не определить, есть 100 %способ проверки. Удаляешь сзи, накатывешь пач, проверяешь смотришь уязвимости нет, накатывешь сзи проверяешь если уязвимости нет значит точно библиотека не входила в состав сзи , а если появилась то звоните разрабам СЗИ)
АП
Всё так
Спасибо. Еще вопрос: стоит ли просить разработчиков прислать обновление официально? Ведь может возникнуть ситуация, что при обновлении библиотеки сертифицированное СЗИ "не взлетит", в таком случае ответственность будет на мне.
АП
Как выходить из такой ситуации?
VM
Алексей П
Как выходить из такой ситуации?
Протестировать на тестовом компе
VM
Не взлететь может и после официальных обновлений от любого вендора
NY
CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
DS
Microsoft обманывает российских партнеров и подставляет их под американские санкции.
Программа импортозамещения, объявленная Президентом Путиным, сильно ударила по позициям Microsoft и, фактически, выдавила их с B2G-рынка.
Microsoft стремительно теряет позиции в России — объем закупок падает, вместе с тем сокращается и количество сотрудников. Стремясь заработать хоть что-то, Microsoft предпринимает совсем уже отчаяные шаги — недавно стало известно о закупке Росатомом программ почти на 3 млрд рублей с нарушением американского законодательства.
Пруф:
https://zakupki.gov.ru/223/purchase/public/purchase/info/common-info.html?lotId=12229503&purchaseId=9220223&purchaseMethodType=IS
https://m.b2b-center.ru/market/pravo-zakliucheniia-dogovorov-na-predostavlenie-prava-ispolzovaniia/tender-1460619/
Microsoft убедил Росатом объявить конкурсы на поставку операционных систем, облаков, баз данных и прикладного ПО для более чем 700 предприятий ядерной отрасли. Технически, такая поставка может быть осуществлена любым локальным партнером, который имеет действующий договор с одним из дистрибуторов Microsoft. НО, поскольку поставки в Росатом высотехнологичных товаров должна курироваться американским регулятором — Управлением по контролю над иностранными активами (OFAC) и Бюро промышленности и безопасности США (BIS) — то, регулятор должен выдать Microsoft специальную экспортную лицензию, разрешающая отгрузку конкретному российскому юрлицу через определенного дистрибутора.
Сейчас у Microsoft такой лицензии нет. Таким образом, поставки 2020 года могут стать важным прецедентом, при которых российский офис Microsoft через своих дистрибуторов отгрузит лицензии на ПО в нарушение американского законодательства. Когда регулятор узнает об этом, то лицензии у Росатома могут быть отозваны. Кроме того, под удар попадут и российские юрлица, которые поставят лицензии в Росатом. Это приведет к усилению санкционной риторики США по отношению к дистрибьюторам и ресселерам, и в итоге больно ударит по всей российской экономике.
Да и самим российским атомщикам не пора ли переходить на российские решения?
Программа импортозамещения, объявленная Президентом Путиным, сильно ударила по позициям Microsoft и, фактически, выдавила их с B2G-рынка.
Microsoft стремительно теряет позиции в России — объем закупок падает, вместе с тем сокращается и количество сотрудников. Стремясь заработать хоть что-то, Microsoft предпринимает совсем уже отчаяные шаги — недавно стало известно о закупке Росатомом программ почти на 3 млрд рублей с нарушением американского законодательства.
Пруф:
https://zakupki.gov.ru/223/purchase/public/purchase/info/common-info.html?lotId=12229503&purchaseId=9220223&purchaseMethodType=IS
https://m.b2b-center.ru/market/pravo-zakliucheniia-dogovorov-na-predostavlenie-prava-ispolzovaniia/tender-1460619/
Microsoft убедил Росатом объявить конкурсы на поставку операционных систем, облаков, баз данных и прикладного ПО для более чем 700 предприятий ядерной отрасли. Технически, такая поставка может быть осуществлена любым локальным партнером, который имеет действующий договор с одним из дистрибуторов Microsoft. НО, поскольку поставки в Росатом высотехнологичных товаров должна курироваться американским регулятором — Управлением по контролю над иностранными активами (OFAC) и Бюро промышленности и безопасности США (BIS) — то, регулятор должен выдать Microsoft специальную экспортную лицензию, разрешающая отгрузку конкретному российскому юрлицу через определенного дистрибутора.
Сейчас у Microsoft такой лицензии нет. Таким образом, поставки 2020 года могут стать важным прецедентом, при которых российский офис Microsoft через своих дистрибуторов отгрузит лицензии на ПО в нарушение американского законодательства. Когда регулятор узнает об этом, то лицензии у Росатома могут быть отозваны. Кроме того, под удар попадут и российские юрлица, которые поставят лицензии в Росатом. Это приведет к усилению санкционной риторики США по отношению к дистрибьюторам и ресселерам, и в итоге больно ударит по всей российской экономике.
Да и самим российским атомщикам не пора ли переходить на российские решения?
DS
Думаю коллегам из упомятых организаций стоит обсудить риски..
Ю
Dmitriy S
Думаю коллегам из упомятых организаций стоит обсудить риски..
Что-то мне подсказывает, что эти коллеги в курсе. Как минимум, они должны были слышать требования по импортозамещению ПО и какие-то слухи про санкции