Сообщения

Сообщения за октябрь, 2014

СОИБ. Анализ. Аттестация и проверка СЗИ

Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать. Ликбез из ГОСТ РО 0043-003-2012 “Аттестация объектов информатизации: комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации. Обязательная аттестация проводится только в случаях, установленных федеральными законами, нпа Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной власти и исключительно на соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленными  федеральными законами, нпа Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной власти Добровольная аттестация может осущес

СЗПДн. Анализ. Выбор мер защиты

Изображение
Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторв, про полную свободу выбора мер защиты Заказчиком. У Алексея Лукацкого так про это каждая заметка с тегом: ФСТЭК. Соглашусь с тем что есть прорыв – появился типовой каталог мер, сами меры сформулированы достаточно гибко, что позволяет при их реализации использовать почти всё что угодно. Но есть в документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие двойного толкования. Один из них – порядок выбора мер защиты. Определен порядок и действия которые необходимо выполнить на каждом этапе. В этом порядке исключение мер базового набора возможно только на этапе “адаптации”.. “в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информаци