R
всё равно нужно разъяснение от ФСТЭК )
Size: a a a
2019 April 10
AK
Все эти слова - из старого положения о сертификации
AK
15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.
Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.
Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.
A
Да ничего бессмысленного тут нет. Достаточно понятный и логичный пункт.
AK
Они давно всё разъяснили. Пока в реестре есть - можно пользоваться
l
Добрый день ) может, кто подскажет экспертное мнение по моделированию угроз)) если согласно Акта классификации , степень ущерба для Конфиденциальности, целостности и доступности обрабатываемых данных определена как Низкая, при моделировании угроз, можем ли мы опасность Каждой угрозы из банка угроз ФСТЭК оценить как Низкую (реализация угрозы может привести к незначительным негативным последствиям для субъекта ПДн) ??
VM
Добрый день ) может, кто подскажет экспертное мнение по моделированию угроз)) если согласно Акта классификации , степень ущерба для Конфиденциальности, целостности и доступности обрабатываемых данных определена как Низкая, при моделировании угроз, можем ли мы опасность Каждой угрозы из банка угроз ФСТЭК оценить как Низкую (реализация угрозы может привести к незначительным негативным последствиям для субъекта ПДн) ??
Последствия в БДУ - булевые величины.
Надо определиться с уровнем нарушителя
Надо определиться с уровнем нарушителя
A
Добрый день ) может, кто подскажет экспертное мнение по моделированию угроз)) если согласно Акта классификации , степень ущерба для Конфиденциальности, целостности и доступности обрабатываемых данных определена как Низкая, при моделировании угроз, можем ли мы опасность Каждой угрозы из банка угроз ФСТЭК оценить как Низкую (реализация угрозы может привести к незначительным негативным последствиям для субъекта ПДн) ??
Опасность по методике для ПДн - это фактически и есть ущерб. Так что, можете спокойно посчитать опасность низкой, при условии, что определение низкой степени ущерба из вашего Акта классификации соотносится с определением низкой опасности угрозы из Методики ФСТЭК (незначительные негативные последствия для субъекта ПДн).
l
Спасибо))
2019 April 11
R
все упрется в требования по безопасности информации. Если в Требованиях указано, что допускается использование несертифицированных сзи - то можно использовать сзи с истекшим сертификатом. Если у нас, например, ГИС, то в Требованиях (17-й Приказ) указано, что в целях защиты информации должны применяться обязательно сзи, имеющие действующий сертификат соответствия.
Не получается найти в 17 приказе фразу о том, что СЗИ должны иметь *действующие* сертификаты соответствия. Прошедшие оценку соответствия в форме сертификации - да. "имеющие действующие сертификаты" - пока не нашёл
A
Не получается найти в 17 приказе фразу о том, что СЗИ должны иметь *действующие* сертификаты соответствия. Прошедшие оценку соответствия в форме сертификации - да. "имеющие действующие сертификаты" - пока не нашёл
смысл тот же.
VM
Не получается найти в 17 приказе фразу о том, что СЗИ должны иметь *действующие* сертификаты соответствия. Прошедшие оценку соответствия в форме сертификации - да. "имеющие действующие сертификаты" - пока не нашёл
Есть другое сообщение. Про требования к средствам. С прошедшим сертификатом запрещена поставка, аттестация
R
смысл тот же.
А вот не согласен. Отсутствие такого прямого указания даёт мне возможность использовать на объектах, аттестованных по 17 приказу, СЗИ с истёкшим сроком сертификата но действующей техподдержкой.
A
если нет действующего сертификата соответствия, то вы не можете подтвердить прохождение сзи оценки соответствия в форме обязательной сертификации
VM
если нет действующего сертификата соответствия, то вы не можете подтвердить прохождение сзи оценки соответствия в форме обязательной сертификации
Конечно, могу. Сертификат же есть, пусть и просроченный.
R
Есть другое сообщение. Про требования к средствам. С прошедшим сертификатом запрещена поставка, аттестация
Какое именно? Важны нюансы, вплоть до формулировок в документе
A
из приказа 17: "В информационных системах применяются средства защиты информации, сертифицированные на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России, или на соответствие требованиям, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований."
N
А вот не согласен. Отсутствие такого прямого указания даёт мне возможность использовать на объектах, аттестованных по 17 приказу, СЗИ с истёкшим сроком сертификата но действующей техподдержкой.
Разве у вас в ТЗ на создание системы ЗИ не прописаны требования к СЗИ, в том числе, что они должны иметь действующий сертификат соответствия?
A
то есть вы хотите сказать, что сзи с просроченным сертификатом все равно является сертифицированным?
R
Разве у вас в ТЗ на создание системы ЗИ не прописаны требования к СЗИ, в том числе, что они должны иметь действующий сертификат соответствия?
Если в документе, на соответствие которому происходит аттестация, написано "..СЗИ, прошедшие оценку соответствия в форме сертификации", то зачем в ТЗ на создание АСЗИ использовать иные формулировки?