Привет всем.

Кто может быстро вспомнить и написать ответ:
Если при сканировании АРМ информационной системы сетевым сканером  обнаружена уязвимость, например, присутствующая в BDU ФСТЭК( https://bdu.fstec.ru/ ), то она обязательно имеет свою оценку согласно уровня опасности уязвимости(низкий, средний, высокий, критический https://bdu.fstec.ru/ubi/terms/terms/view/id/56 ).
Вопросы:
1) Какие НПА(не логика, именно НПА) регулируют действия при обнаружении уязвимостей ответственными за ОИ лицами в процессе эксплуатации ОИ?
2) При выявлении уязвимостей %уровня%, обязательно ли останавливать действие информационной системы, или нет?
3) Если работает лицензиат ФСТЭК, то может ли он аттестовать ОИ согласно требований безопасности информации с выявленными уязвимостями, и если да, то с каким максимальным уровнем опасности уязвимости?

1 - см. Требования регуляторов касательно области действия ОИ 2 - локальными актами владельца ОИ 3 - как договоритесь. За быстрый ответ с Вас 1₽.

уязвимости могут быть закрыты компенсирующими мерами

1- "требования регуляторов" это слишком общее понятие, нет конкретики.
такой ответ  1₽ не стоит)

вопрос если не компенсировать. а принять как есть

Я бы и на первый вопрос ответил про лнпа

В требованиях регулятора к классам/уровням/категориям относительно сферы деятельности в которой ОИ эксплуатируется обычно есть требования по выявлению/устранению уязвимостей ( пример АН3.1 приказа ФСТЭК 21) Согласен с коллегами  - по п. 1 нужно добавить + ЛНА организации.  Так что 1₽ подтверждён.

По 2 вопросу есть требование для КО. См. 382-п, если вам подходит. Но там без оговорки уровня критичности

а тогда нужно смотреть по каждой конкретной уязаимости и реально взвешивать риски от её возможной эксплутуации, а также возможность такой эксплуатации.

Это все прописывается в ЛНА - регламенте / положении, на основании инструментария с помощью которого осуществляется анализ защищённости. Тот же инструмент Позитива делит все уязвимости на 3 группы по цвету светофора.

На красный мы стоим и устраняем на зелёный и жёлтый едем и эксплуатируем)

не всегда красный можно устранить, поэтому анализ компенсацию, в том числе принятие рисков никто не отменял. Соответственно все в рамках ЛПА описывющих, жизненый цикл управления уязвимостями

Желательно конечно устранить уязвимость но реалии не всегда это позволяют сделать к сожалению

+

Добрый день! По 1 вопросу посмотрите пункт 5.6 ГОСТ Р 56939-2016. Если ПО сертифицировано ФСТЭК, то выполняются требования этого ГОСТ.

Доброго дня!
Есть вопрос к Вам, коллеги.
Дано: Организация, у которой заключён договор с провайдером на оказание услуг связи, оборудование провайдера установлено на территории организации.
У Организации есть арендатор, который хочет пользоваться услугами интернета данного провайдера, но не хочет заключать договор напрямую с ним (провайдером).
Вопросов несколько:
1. Если доступ к интернету для арендатора предоставляется организацией безвозмездно и провайдер не против подобного делегирования услуг связи, необходима ли лицензия для Организации на оказание этих самых услуг?
2. Есть ли возможность прописать в договоре между Организацией и арендатором, что вся ответственность при использовании данных услуг ложится на плечи арендатора и если да, то как это прописать корректно с точки зрения законодательства, на какие нпа ссылаться?
Заранее благодарен за Ваши ответы.

Коллеги. С кем-то можно посоветоваться касаемо смэв и техпортала?

1. Да, лицензия нужна на телематику. 2. В случае оформления документов это будет ещё одни доказательством того, что первым нарушено действующее законодательство. 3. Есть ещё много требований и ограничений в рамках данного вида услуг. 4. Если хотите помочь арендатору то это можно обставить немного иначе - например договором на передачу в аренду ПК с доступом в сеть интернет, в котором прописать ответственность и обязанность сторон и стоимость оплаты.

Как всегда за быстрый ответ 1₽)

На тех портал 2 мненомики: 1 тестовая и 1 боевая. К боевой привязан сертификат для смэв. Что привязывать для тестовой мнемоники? Тот же сертификат не даёт. Выпускать ещё один для смэв?