L
Коллеги, привет!
Size: a a a
2018 March 14
L
Переношу вопросик по законодательству в эту ветку:
L
"в случае возникновения инцидента ИБ в КИИ, могут ли возникнуть вопросы к Субъекту КИИ если он использовал не сертифицированные средства защиты"?
T
конечно. вопрос - как Вы допустили инцидент? а сертифицированные СЗИ или нет это уже второстепенно
L
конечно. вопрос - как Вы допустили инцидент? а сертифицированные СЗИ или нет это уже второстепенно
Например инцидент произошел по причине НДВ
V
Такого не может быть, оно же сертифицированно!))))
S
Например инцидент произошел по причине НДВ
Если инцидент по причине закладки в СЗИ, которое прошло сертификацию, тогда вопросы будут и к владельцу системы и сертификационной лаборатории и к техподдержке ПО (после обновления появилась НДВ) - все зависит от обстоятельств
L
Если инцидент по причине закладки в СЗИ, которое прошло сертификацию, тогда вопросы будут и к владельцу системы и сертификационной лаборатории и к техподдержке ПО (после обновления появилась НДВ) - все зависит от обстоятельств
Я имею ввиду, если инцидент произошел в не сертифицированном сзи
S
Я имею ввиду, если инцидент произошел в не сертифицированном сзи
если это в ГИСе, то да вопросы будут, почему не использовали сертифицированный софт, так как это по требованиям нужно. если это иная система, тут вопросы будут к тем, кто проводил приемочные испытания. В любом случае вопросы прежде всего будут к субъекту КИИ, который владеет объектом КИИ, в котором произошел инцидент.
M
"в случае возникновения инцидента ИБ в КИИ, могут ли возникнуть вопросы к Субъекту КИИ если он использовал не сертифицированные средства защиты"?
Однозначно, и вопросы эти называются нарушениями
L
Однозначно, и вопросы эти называются нарушениями
Тогда для предприятия настоятельно рекомендуется использовать сертифицированные СЗИ
T
Тогда для предприятия настоятельно рекомендуется использовать сертифицированные СЗИ
Не обязательно и порой невозможно
L
Не обязательно и порой невозможно
Тогда ситуация патовая. Или вы используете для защиты ЗОКИИ сертифицированные СЗИ и размываете ответственность с тем, кто такое оборудование стратифицировал, или вы берете ответственность за испытания и надеясь на то, что в оборудовании нет НДВ, которые приведут к инциденту
M
"размывание" ответственности?.. у вас своя, у выдавшего сертификат своя. Вряд ли вам это поможет
L
"размывание" ответственности?.. у вас своя, у выдавшего сертификат своя. Вряд ли вам это поможет
Компетентные органы будут разбираться
DK
Тогда для предприятия настоятельно рекомендуется использовать сертифицированные СЗИ
А давайте дождемся финальной редакции приказа ФСТЭК? :)
L
Приказ (финальная версия) на утверждении в минюсте
T
Приказ (финальная версия) на утверждении в минюсте
Это не факт что финальная. Тому пример пп-127
S
но вот финальная версия не равно версии после общественных обсуждений)
DK
но вот финальная версия не равно версии после общественных обсуждений)
Я имел в виду "совсем-совсем финальную" :)
Если там вдруг появится требование использовать сертифицированные СЗИ, вопрос отпадет. Если не появится, то нужно смотреть.
Основной риск у ГИС. С одной стороны, ФСТЭК обещает синхронизировать нормативку. С другой - требования к ГИС (даже если они не КИИ) в части использования сертифицированных СЗИ жестче, чем требования к КИИ.
В любом случае нужно понимать, что разрешение использовать в КИИ несертифицированеые СЗИ содержит неявную добавку "на свой страх и риск". Но и использование сертифицированных СЗИ - не индульгенция. Часто оказывается, что их применяют без учета ограничений, прописанных в программной документации.
Так что в случае инцидента вопросы обязательно будут, независимо от наличия сертификата
Если там вдруг появится требование использовать сертифицированные СЗИ, вопрос отпадет. Если не появится, то нужно смотреть.
Основной риск у ГИС. С одной стороны, ФСТЭК обещает синхронизировать нормативку. С другой - требования к ГИС (даже если они не КИИ) в части использования сертифицированных СЗИ жестче, чем требования к КИИ.
В любом случае нужно понимать, что разрешение использовать в КИИ несертифицированеые СЗИ содержит неявную добавку "на свой страх и риск". Но и использование сертифицированных СЗИ - не индульгенция. Часто оказывается, что их применяют без учета ограничений, прописанных в программной документации.
Так что в случае инцидента вопросы обязательно будут, независимо от наличия сертификата