VK
Alexey Lukatsky
Именно. Утвердил и все
Утвердил, организовал испытания, зафиксировал их результат комиссией. :)
Size: a a a
2019 December 17
AL
Vladimir Karantaev
Утвердил, организовал испытания, зафиксировал их результат комиссией. :)
Да. Содержаниие - на усмотрение субъекта
VK
Alexey Lukatsky
Да. Содержаниие - на усмотрение субъекта
Не спорю... Но как субъект убедится в том, что необходимый функционал есть, что есть совместимость и иные свойства системы не страдают? без качественной ПМИ?
AL
Vladimir Karantaev
А какой факт является основанием для внеплановой проверки ФСТЭК России? Я про расследование инцидента ничего не писал.
А это вообще отдельная история, на каком основании ФСТЭК узнает об инцидентах, есл НКЦКИ не уполномочен передавать эти данные в ФСТЭК. ФСТЭК отдавать данные о ЗОКИИ в НКЦКИ обязан, а поток от НКЦИ к ФСТЭК не предусмотрен законом вообще
AS
Кому тяжело самому писать содержание, может скопировать требования ФСТЭК к МЭ, или не копировать. Свобода!
AL
Кому тяжело самому писать содержание, может скопировать требования ФСТЭК к МЭ, или не копировать. Свобода!
Или напрячь вендора 😊
VK
Alexey Lukatsky
Или напрячь вендора 😊
Не сильно напрягаются...
AL
Vladimir Karantaev
Не сильно напрягаются...
Значит не напрягали еще 😊 А по своей инициативе писать не все хотят
DK
Vladimir Karantaev
Не будет смотреть в глубины ПМИ ? Это как? Пртокол испытаний тоже смотреть не будет? А если произошел инцидент? И в МЭ нет того функционала, который заявлен, но не проверен в ПМИ?
Парни, а вы точно читали приказ 239?
В ходе приемки субъект КТО должен подтвердить, что в системе невозможна реализация угроз, без этого систему нельзя запускать в эксплуатацию.
Запустил, не подтвердив или написав фиговый листок? После инцидента следствие начнет копать, как принимали, как запускали, как бумажки подписывали. Кто-нибудь за это сядет.
Нормативка по КИИ держится не на "строго соблюдайте требования ФСТЭК", а на риске уголовной ответственности
В ходе приемки субъект КТО должен подтвердить, что в системе невозможна реализация угроз, без этого систему нельзя запускать в эксплуатацию.
Запустил, не подтвердив или написав фиговый листок? После инцидента следствие начнет копать, как принимали, как запускали, как бумажки подписывали. Кто-нибудь за это сядет.
Нормативка по КИИ держится не на "строго соблюдайте требования ФСТЭК", а на риске уголовной ответственности
AL
Vladimir Karantaev
Не спорю... Но как субъект убедится в том, что необходимый функционал есть, что есть совместимость и иные свойства системы не страдают? без качественной ПМИ?
А ему шашечки или ехать?
VK
Парни, а вы точно читали приказ 239?
В ходе приемки субъект КТО должен подтвердить, что в системе невозможна реализация угроз, без этого систему нельзя запускать в эксплуатацию.
Запустил, не подтвердив или написав фиговый листок? После инцидента следствие начнет копать, как принимали, как запускали, как бумажки подписывали. Кто-нибудь за это сядет.
Нормативка по КИИ держится не на "строго соблюдайте требования ФСТЭК", а на риске уголовной ответственности
В ходе приемки субъект КТО должен подтвердить, что в системе невозможна реализация угроз, без этого систему нельзя запускать в эксплуатацию.
Запустил, не подтвердив или написав фиговый листок? После инцидента следствие начнет копать, как принимали, как запускали, как бумажки подписывали. Кто-нибудь за это сядет.
Нормативка по КИИ держится не на "строго соблюдайте требования ФСТЭК", а на риске уголовной ответственности
Очевидно читали. Замечания писали.
AL
Парни, а вы точно читали приказ 239?
В ходе приемки субъект КТО должен подтвердить, что в системе невозможна реализация угроз, без этого систему нельзя запускать в эксплуатацию.
Запустил, не подтвердив или написав фиговый листок? После инцидента следствие начнет копать, как принимали, как запускали, как бумажки подписывали. Кто-нибудь за это сядет.
Нормативка по КИИ держится не на "строго соблюдайте требования ФСТЭК", а на риске уголовной ответственности
В ходе приемки субъект КТО должен подтвердить, что в системе невозможна реализация угроз, без этого систему нельзя запускать в эксплуатацию.
Запустил, не подтвердив или написав фиговый листок? После инцидента следствие начнет копать, как принимали, как запускали, как бумажки подписывали. Кто-нибудь за это сядет.
Нормативка по КИИ держится не на "строго соблюдайте требования ФСТЭК", а на риске уголовной ответственности
Эти риски еще доказать надо. Если смотреть на 274 УК РФ, с которой списана 274.1, вообще нерабочая
VK
Alexey Lukatsky
А ему шашечки или ехать?
Ему ехать... И на слово не верить вендору...
AL
Vladimir Karantaev
Ему ехать... И на слово не верить вендору...
То есть на слово не верит, а сертификату от вендора верит?
VK
Я ничего не писал про сертификаты вообще :)
AS
Сергей Евгеньевич ты что вообще в группе устроил? :)
VK
Сергей Евгеньевич ты что вообще в группе устроил? :)
👌
AL
Vladimir Karantaev
Я ничего не писал про сертификаты вообще :)
Если заказчик хочет в чем-то убедиться сам, то и ПМИ он напишет правильную без оглядки на ФСТЭК и сертификату верить не будет. А если ему нужно прикрыться, то...
DK
Alexey Lukatsky
Эти риски еще доказать надо. Если смотреть на 274 УК РФ, с которой списана 274.1, вообще нерабочая
Потому что 274 - совсем другое и для других условий. Я по этому аналогию с противопожаркой и приводил. "Всюду стоят подписи о проведении инструктажа, а в реальном пожаре люди не смогли эвакуироваться? Значит, не проводили, это и свидетели подтверждают"
VK
Alexey Lukatsky
Если заказчик хочет в чем-то убедиться сам, то и ПМИ он напишет правильную без оглядки на ФСТЭК и сертификату верить не будет. А если ему нужно прикрыться, то...
Соглашусь...К сожалению, таких еще поискать...Я к тому, что ПМИ нужно писать качественную и испытания проводить для всего ПТК. Про ФСТЭК я вообще ничего не писал )