Просто у нас пришла бумага от подведа, просят разъяснить что у них за ИС (система видео наблюдения) вот думаю как из грамотней отослать)

Подведов надо любить и воспитывать а не посылать :))

Можно запросить документацию на проектирование, ТЗ и т.д. Имхо ничего этого  у них нет, поэтому можно их послать еще и пропесочить в воспитательных целях :?)

Обзор нововведений в лучших практиках мер ИБ - 20 CIS Controls https://sborisov.blogspot.com/2019/04/cis-20.html

Может я что-то не понимаю, но есть же ещё 21 приказ, не только 17й)). У вас есть какой то ресурс, который нужно защищать ? Вы его классифицируете, анализируете , что вы обрабатываете, какого уровня , нужна ли защита. И если вы не госы, тогда welcome в 21 приказ.

НПА много разных. класс системы зависит от ее назначения и от типов данных, обрабатываемых в системе.
Это могут быть ГИС и МИС из 149-ФЗ и 17 приказа
это могут быть ИСПДн из 152-ФЗ и 21 приказа
это может быть КИИ из 187-ФЗ
это может быть АСУ ТП, не являющаяся ОКИИ из 31 приказа
это может также быть: медицинская ИС, банковская ИС, ИС, в которой обрабатываются сведения, составляющие коммерческую тайну, гостайну и т.д. и т.п.

А есть кто SOC по ГИС 1 аттестовывал?

Есть

Коллеги, небольшой вопрос по сертификации - в мае кончается сертификат на малораспространенное средство защиты. В новом положении сказано: "Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки." То есть если тех. поддержка есть, то можно продолжать использовать после окончания, верно?

Можно использовать пока есть ТП и пока ФСТЭК не отозвал сертификат (возможный признак - пропадание из реестра серт. СЗИ)

Ого, это в каком новом положении есть такое?

А не атака ли это на КИИ?!

Это в 55, пункт 15

все упрется в требования по безопасности информации. Если в Требованиях указано, что допускается использование несертифицированных сзи - то можно использовать сзи с истекшим сертификатом. Если у нас, например, ГИС, то в Требованиях (17-й Приказ) указано, что в целях защиты информации должны применяться обязательно сзи, имеющие действующий сертификат соответствия.

Грубо говоря, в этом пункте (п. 15 Положения о сертификации) говорится, что у организации есть два варианта действия при окончании срока действия сертификата соответствия: 1. податься в частном порядке на сертифкацию; 2. использовать сзи с истекшим сертифкатом, если это допускается текущими требованиями по безопасности.

вот про это ведь речь? https://fstec.ru/index?id=1594:polozhe

да

Поскольку это Положение не для конечных пользователей, то указанные два варианта - для заявителей. А у конечных пользователей остаётся возможность продлить срок действия сертификата для их экземпляра СЗИ, которая и была ранее

Бессмысленный пункт получается, если нет требования использовать сертиф. СЗИ, то ты и так и им пользоваться мог