AK
Юлия Хромцова
Значит требования сертификации на сигнатуры не распространяются если программные модули не трогать ?
в частности, у каспера в документации есть раздел с настройками для сертифицированного состояния.
Size: a a a
2020 October 28
ЮХ
Alexander Korb
в частности, у каспера в документации есть раздел с настройками для сертифицированного состояния.
Спасибо, ранее не задумывалась об этом вопросе и делала все как обычно согласно инструкции и формуляру, но коллега подкинул информацию для размышления )
v
Обсуждение законодательных вопросов по теме информационной безопасности: 187-ФЗ, 152-ФЗ, 98-ФЗ, 63-ФЗ и так далее: https://t.me/vseFZ
ЮХ
Есть проект вышел в апреле 2020 года методика моделирования УБИ... отменяет ли он методику определения актуальных угроз пдн от 2008 года и методику определения актуальных угроз ксии от 2007 года? Вообще раз это проект то можно ли его применять для составления модели угроз для ЗОКИИ?
АС
Юлия Хромцова
Есть проект вышел в апреле 2020 года методика моделирования УБИ... отменяет ли он методику определения актуальных угроз пдн от 2008 года и методику определения актуальных угроз ксии от 2007 года? Вообще раз это проект то можно ли его применять для составления модели угроз для ЗОКИИ?
Нет прямых ссылок в утвержденных НПА и НМД использовать для моделирования не утвержденные проекты документов.
Поэтому если в ТЗ явно не написано, что должен использоваться проект новой методики, то её использовать нельзя.
Поэтому если в ТЗ явно не написано, что должен использоваться проект новой методики, то её использовать нельзя.
ЮХ
Нет прямых ссылок в утвержденных НПА и НМД использовать для моделирования не утвержденные проекты документов.
Поэтому если в ТЗ явно не написано, что должен использоваться проект новой методики, то её использовать нельзя.
Поэтому если в ТЗ явно не написано, что должен использоваться проект новой методики, то её использовать нельзя.
Спасибо 😊
VP
В тех же НПА и НМД нет ссылок использовать именно методику от 2008 года. При этом сам ФСТЭК в своих сообщениях допускает использование КСИИшной
N
ну, так-то сейчас забавная ситуация, что формально нет вообще методики моделирования, которая утверждена и удовлетворяет всем требованиям подзаконным актов (21, 17 приказу, 239 и т.д.). Та же методика 2008 года не использует БДУ например, там другие понятия в принципе, так что ее as is использовать некорректно.
Есть опыт согласования МУ ГИС с ФСТЭК и ФСБ, разработанной по проекту 2015 года. Сейчас аналогично можно делать МУ по проекту новой методы, но в явном виде на нее не ссылаться, пока она не утверждена. Так, уже в этом году при согласовании ФСТЭК просил расписывать сценарии реализации угроз, что как бы про новую методик уже
Есть опыт согласования МУ ГИС с ФСТЭК и ФСБ, разработанной по проекту 2015 года. Сейчас аналогично можно делать МУ по проекту новой методы, но в явном виде на нее не ссылаться, пока она не утверждена. Так, уже в этом году при согласовании ФСТЭК просил расписывать сценарии реализации угроз, что как бы про новую методик уже
АС
Vladislav Pavlov
В тех же НПА и НМД нет ссылок использовать именно методику от 2008 года. При этом сам ФСТЭК в своих сообщениях допускает использование КСИИшной
Есть требование использовать утвержденные ФСТЭК методики. Из утвержденных сейчас методика 2008 года и КСИИ.
По поводу использования БДУ ФСТЭК России: было информационное письмо, что БДУ надо учитывать в модели угроз.
По поводу использования БДУ ФСТЭК России: было информационное письмо, что БДУ надо учитывать в модели угроз.
АС
ну, так-то сейчас забавная ситуация, что формально нет вообще методики моделирования, которая утверждена и удовлетворяет всем требованиям подзаконным актов (21, 17 приказу, 239 и т.д.). Та же методика 2008 года не использует БДУ например, там другие понятия в принципе, так что ее as is использовать некорректно.
Есть опыт согласования МУ ГИС с ФСТЭК и ФСБ, разработанной по проекту 2015 года. Сейчас аналогично можно делать МУ по проекту новой методы, но в явном виде на нее не ссылаться, пока она не утверждена. Так, уже в этом году при согласовании ФСТЭК просил расписывать сценарии реализации угроз, что как бы про новую методик уже
Есть опыт согласования МУ ГИС с ФСТЭК и ФСБ, разработанной по проекту 2015 года. Сейчас аналогично можно делать МУ по проекту новой методы, но в явном виде на нее не ссылаться, пока она не утверждена. Так, уже в этом году при согласовании ФСТЭК просил расписывать сценарии реализации угроз, что как бы про новую методик уже
Также и модели угроз по методике 2008 года с учетом БДУ согласуют (в т.ч. ГИС, ПДн и КИИ) =)
Я же говорю, что если в ТЗ явно не прописано, что надо делать по не утвержденной методике, то этого делать нельзя. Если, например, в ТЗ прописать, что в модели должны учитываться сценарии реализации угроз и т.п., то тут да можно её использовать без прямых ссылок
Я же говорю, что если в ТЗ явно не прописано, что надо делать по не утвержденной методике, то этого делать нельзя. Если, например, в ТЗ прописать, что в модели должны учитываться сценарии реализации угроз и т.п., то тут да можно её использовать без прямых ссылок
ЮХ
Есть требование использовать утвержденные ФСТЭК методики. Из утвержденных сейчас методика 2008 года и КСИИ.
По поводу использования БДУ ФСТЭК России: было информационное письмо, что БДУ надо учитывать в модели угроз.
По поводу использования БДУ ФСТЭК России: было информационное письмо, что БДУ надо учитывать в модели угроз.
Подскажите, что за письмо об использовании БДУ ? Реквизиты его
VP
Есть требование использовать утвержденные ФСТЭК методики. Из утвержденных сейчас методика 2008 года и КСИИ.
По поводу использования БДУ ФСТЭК России: было информационное письмо, что БДУ надо учитывать в модели угроз.
По поводу использования БДУ ФСТЭК России: было информационное письмо, что БДУ надо учитывать в модели угроз.
Абсолютно верно. Однако методику 2008 в ее исходном виде к чему-либо, кроме ИСПДн, очень сложно применять. Поэтому и приходится лепить нечто жизнеспособное, как писали выше
АС
Vladislav Pavlov
Абсолютно верно. Однако методику 2008 в ее исходном виде к чему-либо, кроме ИСПДн, очень сложно применять. Поэтому и приходится лепить нечто жизнеспособное, как писали выше
Это уже другой вопрос :)
С Вашим мнением я солидарен
С Вашим мнением я солидарен
АС
Юлия Хромцова
Подскажите, что за письмо об использовании БДУ ? Реквизиты его
Пока нет возможности найти это письмо
А
Юлия Хромцова
Подскажите, что за письмо об использовании БДУ ? Реквизиты его
АС
Пока нет возможности найти это письмо
Кстати скорее всего я ошибаюсь и такого письма нет.
В не утвержденной методике 2015 года есть обязательное применение БДУ ФСТЭК России (и видимо я с ней спутал)
В не утвержденной методике 2015 года есть обязательное применение БДУ ФСТЭК России (и видимо я с ней спутал)
KA
N S M
Да, можете, помимо всего прочего в аттестационных документах должна найтись инструкция администратора антивирусных средств. Только нужно обратить внимание, что в настройках САЗ обновление программных модулей должно быть отключено.
Емнип, либо савз настроены для скачивания только сертифицированных обновлений/баз
2020 October 29
S
в открытом 42 приказе есть что-то про это?
v
Обсуждение законодательных вопросов по теме информационной безопасности: 187-ФЗ, 152-ФЗ, 98-ФЗ, 63-ФЗ и так далее: https://t.me/vseFZ
2020 October 30
Tm
Привет всем, французы как то сделали программку, палящую пароли винды. Мемкаст или чёт такое. Кто нибудь слышал? Не могу вспомнить название