tag:blogger.com,1999:blog-4065770693499115314.post2197543657831541266..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Об оценке соответствия средств защитыАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger51125tag:blogger.com,1999:blog-4065770693499115314.post-53388882833510515062016-02-26T13:35:21.577+03:002016-02-26T13:35:21.577+03:00На что?На что?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-90280626711852443862016-02-26T01:09:41.600+03:002016-02-26T01:09:41.600+03:00Правильно ли я понимаю. что сейчас нужно оформлять...Правильно ли я понимаю. что сейчас нужно оформлять такие вот декларации таможенного союза <a href="http://www.rospromtest.ru/sertifikati/deklaraciya-sootvetstviya-tamojennogo-soyuza/" rel="nofollow">http://www.rospromtest.ru/sertifikati/deklaraciya-sootvetstviya-tamojennogo-soyuza/</a>?Anonymoushttps://www.blogger.com/profile/01249089417265241925noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-13243470787308739082012-08-01T17:16:14.386+04:002012-08-01T17:16:14.386+04:00Добрый день!
Я прошу прощения, если повторюсь или...Добрый день!<br /><br />Я прошу прощения, если повторюсь или ответ на мой вопрос будет очевиден, но, не мог бы мне кто-нибудь подсказать: <br /><b>1.</b> Сертифицируя СКЗИ по КС1 или КС2, каким образом я могу показать соответствие требованиям, если во-первых я не могу найти эти требования, во-вторых, насколько я понял, исходя из "ФСБ РФ 21.02.2008 N 149/54-144" соответствие определяется из модели нарушителя? Как производитель оборудования получает сертификат на КС если модель угроз формируется конкретно на объекте? Или брать модель угроз ФСБ? <br /><b>2.</b> Получить список необходимых документов для сертификации можно только обратившись непосредственно к ФСБ?<br /><br />Заранее спасибо.Anonymoushttps://www.blogger.com/profile/09120472249386520175noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-86515231096563685572011-03-02T20:03:35.001+03:002011-03-02T20:03:35.001+03:00Спасибо большое!Спасибо большое!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-88285361067994538762011-03-02T18:41:45.554+03:002011-03-02T18:41:45.554+03:005-я5-яАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-9988996689183335682011-03-02T18:36:00.606+03:002011-03-02T18:36:00.606+03:00Спасибо. А статью не назовете?
В старом законе ук...Спасибо. А статью не назовете?<br /><br />В старом законе указывалось, что обязательность сертификации устанавливается законодательными актами РФ, без конкретики, на какие именно.<br /><br />В новом же есть ст.46, согласно которой до принятия техрегламентов действуют имеющиеся нормативные акты. Можно ли сделать вывод о том, что 199 приказ, касающийся обязательной сертификации все же правомерен, как думаете?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-22042239046763405432011-03-02T18:22:02.683+03:002011-03-02T18:22:02.683+03:00Из закона о техрегулированииИз закона о техрегулированииАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-30798446495650610742011-03-02T16:15:50.878+03:002011-03-02T16:15:50.878+03:00Извините, а из чего следует Ваш вывод, что обязате...Извините, а из чего следует Ваш вывод, что обязательная сертификация д.б. установлена только актом Правительства или Президента? Спасибо.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67727040802333857802010-12-19T07:02:32.327+03:002010-12-19T07:02:32.327+03:002 John
СКЗИ - песня отдельная. Тут уж все смирили...2 John<br /><br />СКЗИ - песня отдельная. Тут уж все смирились, что сертифицированные ФСБ решения приходится использовать. <br /><br />А то, что ФСТЭК не станет доверять Газпромсерт - почему бы и нет? Там тот же ФСТЭК сидит, просто старая команда - отношения с ЦА у них нормальные.<br /><br />А лицензия на ТЗКИ и аттестат аккредитации - вещи очень разные. Понятно, что лицензию получить в разы проще. Кстати, то, что лицензии для аттестации ИСПДн и АС на соответствие СТР-К достаточно - это вполне официально. У нас есть официальный ответ на запрос из ФСТЭК.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15942639237226443632010-12-19T01:49:44.506+03:002010-12-19T01:49:44.506+03:00ФСТЭК только на словах говорит о снижении требован...ФСТЭК только на словах говорит о снижении требования, а на деле уже подготовил новое положение об обязательной оценке соответствия СЗИ для ПДн, положение по аттестации объектов, обрабатывающих конфиденциалку и даже имеет планы по обязательной сертификации по НДВ прикладного ПО, обрабатывающего отдельные категории конфиденциалки. А вы говорите снижают требования...<br /><br />Про ФСБ я вообще молчу. Как только они выпустили совместный приказ с ФСТЭК, так сразу забрали на себя антивирусы, МСЭ, IDS и т.п. А сертифицировать эти решения в ФСБ задача архисложная.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33033582222544083872010-12-18T12:32:57.157+03:002010-12-18T12:32:57.157+03:00>to doom
1. Было бы интересно узнать инновацио...>to doom<br /><br />1. Было бы интересно узнать инновационный уральский опыт. Нам-то что. На криптосредства тоже указания местного ФСТЭК распространяется?<br />Между нами, зная обе системы сертификации (АйТиСертифика – Ассоциация ЕВРОААС, Газпромсерт – Газпром), сомневаюсь, что официально центральный ФСТЭК может делегировать им свои функции (при аттестации). Можно попробовать подержать уральский ФСТЭК в плане защиты ИСПДн К4. :)<br /><br />2. В результате аттестации мы имеем какой-то документ? Правильно – аттестат.<br />Организация, выписывающая аттестат, должна иметь аттестат аккредитации органа по аттестации (при защите гостайны) или лицензию ФСТЭК по конфиденциалке (при защите конфиденциальной информации). <br /><br />3. Частично. СТР-К обязательно только для госучреждений, для других – имеет рекомендательный характер. <br />Еще, есть дискуссионное Постановление Правительства РФ №330, а в нем – обязательная сертификация СЗИ. Что думает здесь ФСТЭК, декларирующая, что сертификация СИСТЕМ должна проводиться в форме обязательной аттестации, - до конца непонятно.<br /><br />Сейчас много устных заявлений от регуляторов (ФСБ и ФСТЭК) о снижении требований, но пока они не подтверждены документально ведомственными документами, и все мы имеем проблемы на практике (сдать работу и судиться или не судиться). :)Johnhttps://www.blogger.com/profile/04190239127904004588noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74822291826685637622010-12-18T07:45:59.536+03:002010-12-18T07:45:59.536+03:002 John
Наш местный ФСТЭК на всех последних меропр...2 John<br /><br />Наш местный ФСТЭК на всех последних мероприятиях ведет линию, что оценка соответствия, требуемая по 781-му постановлению может проводиться и в системах добровольной сертификации.<br /><br />Кроме того, для аттестации на соответствие СТР-К никакой аттестат аккредитации не нужен. Аттестат аккредитации нужен только для аттестации по гос. тайне.<br /><br />Ну и для ПДн тем более - там даже СТР-К никому не нужен.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-16953453794736765932010-12-17T23:10:45.663+03:002010-12-17T23:10:45.663+03:00Не знаю ;-) Просто мало кто знает, что сертификаци...Не знаю ;-) Просто мало кто знает, что сертификация СЗИ может быть не во ФСТЭК ;-) И мало кто хочет рисковать, отстаивая свои интересы потом.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-12140490658585452822010-12-17T16:21:30.549+03:002010-12-17T16:21:30.549+03:00Дело в том, что орган по аттестации (ФСТЭК - други...Дело в том, что орган по аттестации (ФСТЭК - других нет) выписывает аттестат на соответствие СТР-К. Здесь b проблемы с добровольными системами. На практике были бадания даже между сертификатами Минобороны и ФСТЭК (на соответствие одинаковым документам Гостехкомиссии) - с отрицательным результатам. До суда дело не дошло. Может знаете примеры?Johnhttps://www.blogger.com/profile/04190239127904004588noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64830551879098293232010-12-17T16:03:04.162+03:002010-12-17T16:03:04.162+03:00Так и ФСТЭК считает, что сертификация СЗИ может бы...Так и ФСТЭК считает, что сертификация СЗИ может быть только у них. А ведь это не так. Если аттестационная лаборатория не принимает объект, то любой суд их поставит на место, ибо закон разрешает ЛЮБУЮ систему добровольной сертификации, если это не оговорено особо.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-58630242539817537992010-12-17T15:57:53.523+03:002010-12-17T15:57:53.523+03:00>> "Ну как раз АйТиСертифика заявляет, ...>> "Ну как раз АйТиСертифика заявляет, что их сертификаты признаются в ФСТЭК. У ГАЗПРОМСЕРТа тоже" <br /><br />Можно уточнить. У Газпрома совсем другие сертификаты в области защиты (они не копируют ФСТЭК и ФСБ). АйТиСертифика (работающая по документам ФСТЭК) в докризисные времена согласовала свои документы с ФСБ и ФСТЭК, и все. Например, на объектах информатизации эксперты аккредитованного органа по аттестации ФСТЭК не воспримут сертификаты добровольных систем, им нужны только сертификаты ФСТЭК и ФСБ. <br /> <br />Получается, сертификаты добровольных систем (как документы гособразца) в области безопасности информации могут быть субъективно или временно восприняты некоторыми заказчиками работ (но не федеральными органами в области безопасности информации).<br /><br />Есть пост, если интересно: <br /> http://s3r.ru/14/12/2010/sertifikatsiya_szi/certification/Johnhttps://www.blogger.com/profile/04190239127904004588noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46008085470151217022010-12-02T10:37:17.655+03:002010-12-02T10:37:17.655+03:00Ну вот и я про тоже. У ФСБ тоже ведь система для Г...Ну вот и я про тоже. У ФСБ тоже ведь система для ГТ обязательная, а вторая добровольная.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-73497301582111166282010-12-02T07:57:02.513+03:002010-12-02T07:57:02.513+03:00В том реестре ростехрегулирования и система сертиф...В том реестре ростехрегулирования и система сертификации СЗИ ГТ тоже есть. Можно поискать по номеру РОСС RU.0003.01БИ00. Но она-то точно не добровольная.Артур Котылевскийhttps://www.blogger.com/profile/02267354023060816953noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70011743917652985492010-11-30T17:06:28.369+03:002010-11-30T17:06:28.369+03:00Ну у судя должны быть основания для признания ее о...Ну у судя должны быть основания для признания ее обязательной. Пока я таких не вижу, исключая гостайну, что и вытекает из ПП-608. В остальных случаях сертификация носит добровольный характер.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82264238364944095882010-11-30T16:58:38.999+03:002010-11-30T16:58:38.999+03:00Посмотрел сайт Росстата. Действительно, РОСС RU.00...Посмотрел сайт Росстата. Действительно, РОСС RU.0001.01БИ00 находится в списке добровольных систем. Но списка обязательных систем там просто нет. В наименовании системы не указано, что это система добровольной сертификации, как у других. ФСТЭК ее позиционирует как обязательную. Думаю, в случае судебных тяжб, суд ее тоже признает обязательной.serghttps://www.blogger.com/profile/16314948175652181890noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48049561828470294472010-11-29T11:09:08.612+03:002010-11-29T11:09:08.612+03:00Ну как раз АйТиСертифика заявляет, что их сертифик...Ну как раз АйТиСертифика заявляет, что их сертификаты признаются в ФСТЭК. У ГАЗПРОМСЕРТа тоже. Но все это неформально.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37542911325712502412010-11-29T03:32:02.139+03:002010-11-29T03:32:02.139+03:00Эхх, хотел я уже взять на вооружение эту идею об а...Эхх, хотел я уже взять на вооружение эту идею об альтернативных системах сертификации, как вспомнил несколько пунктов из положения 781:<br /><i>18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, <b>оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.</b></i><br /><br /><i>19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, <b>согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.</b><br /><br />Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.</i><br /><br /><i>20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. <b>Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.</b></i><br /><br />И как я понимаю, не АйТиСертифик, не Газпромнефть, не могут похвастаться согласованием со ФСТЭКом и ФСБ результатов сертификации и прочими указанными вещями. (exp001https://www.blogger.com/profile/10693807852299857551noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-26344622586506289272010-11-27T15:10:55.477+03:002010-11-27T15:10:55.477+03:00ABISS - не финансовая, но финансовые организации н...ABISS - не финансовая, но финансовые организации не могут вступать в СРОАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-55901769128773248842010-11-27T09:52:20.084+03:002010-11-27T09:52:20.084+03:002 Алексей Лукацкий
Но вот в том-то и дело, что AB...2 Алексей Лукацкий<br /><br />Но вот в том-то и дело, что ABISS - не финансовая организация (они вообще формально не организация). Сначала будет образовано НКО, а потом СРО - и, если я правильно понял, все вопросы уже решены. <br />Так что им, казалось бы, сам бог велел...doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-60968420523637891702010-11-27T00:16:10.665+03:002010-11-27T00:16:10.665+03:00Сертификация производства тут ни причем ;-) Вот ес...Сертификация производства тут ни причем ;-) Вот если бы в России признавали западные сертификаты, я был бы рад ;-) А так просто исследование как раз в контексте сертификации производства... которое у нас, кстати, впервые было запущено еще 3 года назад.<br /><br /><b>epx:</b> Я покопаю в этом направлении. Но на сайте Ростехрегулирования система ФСТЭК заявлена как добровольная.<br /><br /><b>doom:</b> Такая мысль была. Только не у ABISS, а у ЦБ. Мы ее обсуждали. Но создание СРО для финансовых организаций пока запрещено по закону о СРО. И в это все и упирается. ЦБ планировал разрулить это как-то и видимо сейчас это делает.<br /><br /><b></b>Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.com