tag:blogger.com,1999:blog-4065770693499115314.post6041920186305394607..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Конференция ФСТЭК: требования по защитеАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-4065770693499115314.post-87849852214942398732016-02-16T12:00:39.855+03:002016-02-16T12:00:39.855+03:00Эта позиция регулятора понятна, но не бесспорна. В...Эта позиция регулятора понятна, но не бесспорна. В определении аттестации нигде не сказано, что должно проверяться соответствие именно действующим требованиям. Согласно общему правоприменительному принципу требования НПА распространяются только на отношения, возникшие после даты их вступления в силу. Т.е. если вы начали создавать систему по старой (действующей на момент начала работ) нормативке, и вышла новая, то вы имеет полное право заканчивать создание системы защиты по старой нормативке и соответственно аттестовывать (и переаттестовывать при условии отсутствия модернизации) систему защиты на соответствия старым требованиям тоже. Я по крайней мере руководствуюсь таким принципом.Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59079056001562616942016-02-15T17:53:34.332+03:002016-02-15T17:53:34.332+03:002 Михаил
В любом случае, при аттестации подтвержд...2 Михаил<br /><br />В любом случае, при аттестации подтверждается, что ИС соответствует действующим на момент аттестации требованиям. Не новым и не старым, а действующим сегодня.<br />Точно так же и при повторной аттестации придется подтверждать выполнение в ИС действующих (а не трехлетней давности) требований.<br />Так, во всяком случае, объясняют все представители регулятора.Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-12186114098812584542016-02-15T17:42:34.056+03:002016-02-15T17:42:34.056+03:00Меня смутил термин "новое средство защиты&quo...Меня смутил термин "новое средство защиты". Очень бы не хотелось увидеть в документе двузначности - новый с точки зрения приобретения его оператором для построения СЗИ (нельзя покупать средства защиты без контроля НДВ для защиты ГИС с момента вступления в силу нового документа, уже используемые средства защиты без контроля НДВ использовать по-прежнему можно) или новый с точки зрения выдачи сертификата производителю средства защиты (для защиты ГИС можно использовать и покупать средства защиты без контроля НДВ, если сертификаты на них выданы до вступления в силу документа)..Крайне желательно, чтобы этот момент был расписан четко, на уровне ожидаемых ФСТЭК действий операторов (что можно и при каких условиях), а не просто термином "ново средство защиты", а то опять потом разъяснять придетсяМихаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-9631761016674630292016-02-15T14:36:39.719+03:002016-02-15T14:36:39.719+03:00"...При проверках они больше смотрят на содер..."...При проверках они больше смотрят на содержание (а оно как раз описано в 17-м приказе), а не на форму организационно-распорядительной документации..."<br /><br />К сожалению, на практике все с точностью до наоборот: представители ФСТЭК требуют иметь привычный им набор документов на ИС. Есть техпасорт - хорошо, нет - плохо, делайте. А если состав ИС зафиксирован каким-либо другим документом, им это очень не нравится. Так же и по другим, пришедшим из аттестации АС с ГТ документам. Доказать, что они не обязательны крайне сложно.<br />Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.com