Как вы собираетесь реализовать меру по защиту от угроз 1-го, 2-го типа? Какие именно механизмы СЗИ позволят это сделать (даже по документам)? Единственный выход это сертификация ПО/ОС (как вы и написали), которая и позволит удостовериться/ не удостовериться в этом. Никакие наложенные СЗИ эту угрозу не закроют. И если мы пишем, что угрозы 1-го, 2-го типа актуальны, то единственный способ это отправить такое ПО/ОС на эту проверку.

Вообще я полностью согласен с мнением, что наложенные СЗИ скорее всего не смогут спасти от реальных НВД ОС и СПО и желательно применять сертифицированную ОС (но даже сертифицированную ОС от 0 day никто не спасал, как и любое другое СЗИ)...
Но в рамках исполнения действующих НПА и НМД достаточно применять наложенные СЗИ.

Ваша МИС должна быть аттестована по 17-му приказу вне зависимости от наличия ПДн. Если в вашей модели угроз актуальны угрозы НДВ в системном ПО, то нужна сертифицированная ОС.

Если вам известно наложенное СЗИ, у которого в формуляре прописано, то что оно мистическим образом закрывает угрозы 1-го, 2-го типа (или похожей формулировкой), то приведите пример (исключая серт ОС, в своем составе имеющие функционал сзи). Иначе у вас получается, что вы непрофильным средством закрываете угрозы по бумаге, что нарушения (и то что регулятор этого не обнаружил, не говорит о том, что вы делаете правильно).

А почему именно аттестована? Где прописана обязательная аттестация мис?! Только 17 приказ и только при определенных условиях. Неужто все мис под 17 приказ идут!?

Уже же ссылались на 11ый пункт 21го приказа. Там все и написано.

проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

В требованиях, утвержденных 17-м приказом. Пункт 3

Проводятся пентесты ИС. Выявленные уязвимости перекрываются наложенными СЗИ :)

Проводятся пентесты ИС. Выявленные уязвимости перекрываются наложенными СЗИ :)

Я знаю. Вопрос в другом -почему именно 17 приказ? Неужто все мис государственные?

Тогда это должно называться по-другому

Что "это"?

НДВ и уязвимости - разное. Пентестом не выявляются. Наложенными СЗИ не блокируются

Информационная система.

Не понял?! Каким образом это связано с исполнением либо 17 либо 21 приказа? Есть испдн мед назначения в обычном лпу. Есть различные профильные приказы регламентирующие и описывающие эту сущность. При чем тут иное название?

Пардонте! Мы про разные ИС говорим 😆