16.7.13

Разъяснение ФСТЭК по 17-му и 21-му приказам

Вчера под вечер ФСТЭК опубликовала информационное сообщение о том, как следует читать отдельные фрагменты 17-го и 21-го приказа, устанавливающие требования по защите персональных данных и государственных информационных систем. Я не буду пересказывать само сообщение ФСТЭК (оно достаточно понятно написано), а просто перечислю те вопросы, на которые оно отвечают (удалив бюрократическую шелуху и оставив простой человеческий язык):
  1. Когда вступают в силу 17-й и 21-й приказы и надо ли переаттетсовывать ИС (АС), если они проходили аттестацию до вступления упомянутых новых приказов в силу?
  2. Как определить класс защищенности государственной информационной системы, если в ней обрабатываются персональные данные? Как соотнести класс защищенности ГИС и уровень защищенности ИСПДн?
  3. Что такое "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных"? В какой форме она может проводиться коммерческими и государственными/муниципальными операторами ПДн?
  4. Муниципальные образования ложатся под 17-й или 21-й приказ?
  5. Продолжает ли действовать СТР-К?
  6. Как соотносятся старое понятие "автоматизированная система" и новое "информационная система"?
  7. Если в сертификате на средство защиты не указана сертификация на отсутствие НДВ, можно ли считать, что это СрЗИ проходило оценку соответствия на отсутствие НДВ?
  8. Как регламентируется применение пентестов и SDLC, прописанных в качестве мер нейтрализации актуальных угроз 1-го и 2-го типа?
  9. Что еще готовит ФСТЭК в дополнение к 17-му и 21-му приказам?
Обратите внимание, что ФСТЭК вновь возвращает себе роль методологического лидера (то, чего так не хватает 8-му Центру ФСБ) и готовит не только новые РД по новым типам средств защиты (об этом в письме ни слова, но такие работы ведутся), но и новые рекомендации по тем вопросам, которые раньше ФСТЭК обходила молчанием - управление уязвимостями, реагирование на инциденты, обновление сертифицированных средств защиты информации и т.п.

Также еще обратите внимание на последний абзац. Он говорит не о том, что ФСТЭК снимает с себя ответственность за принятие решение об актуальности угроз 1-го и 2-го типов. Совсем нет. ФСТЭК напоминает операторам ПДн, чтобы они лучше читали ПП-1119, в котором право и обязанность определения актуальных типов угроз лежит на операторе ПДн и ни на ком ином. Не стоит ждать от ФСТЭК или ФСБ ответа на этот вопрос - они вам его не дадут, т.к. законодательством на них эта функция не возложена. И бояться, что вас заставят пересмотреть уровень защищенности или модель угроз, тоже не стоит. Нет такой процедуры (исключая, быть может, государственные органы и муниципальные образования в рамках аттестации) и не будет (ее и при "приказе трех" не было). Поэтому смело принимайте, что у вас угроз 1-го и 2-го типа нет. При этом вам никто не запрещает самостоятельно выбирать дополнительные защитные меры по 17-му или 21-му приказу, снижающие вероятность использования недекларированных возможностей. Главное, не вписывать себе эти угрозы как актуальные. И не потому, что вы будете вынуждены либо пентесты заказывать (это не так уж и плохо), либо выбирать вендора с реализованным процессом SDLC (выглядеть это может так). И даже не потому, что средства защиты в этом случае должны быть сертифицированы на отсутствие НДВ, а это сильно сокращает спектр выбора. Проблема в грядущем приказе ФСБ по персданным, который устанавливает достаточно специфические требования к защите от угроз 1-го и 2-го типов. Мало вам точно не покажется (а местами эти требования вы физически не сможете выполнить).

Но хочу добавить и ложку дегтя. Не на все вопросы письмо дает ответы. Отчасти потому, что ФСТЭК не уполномочена трактовать законодательство, а там есть ряд нюансов, например, с трактовкой термина "государственная информационная система". Отчасти потому, что новые вопросы слишком бы усложнили и утяжелили письмо. А отчасти потому, что ответить ФСТЭК на эти вопросы пока нечего. Ну вот например:
  • Стоило бы хоть как-то разъяснить про принцип экономической целесообразности и о том, чем руководствоваться при принятии решения о нецелесообразности. Все-таки это революционное требование для ФСТЭК и его стоило бы пояснить. Особенно для тех организаций, который подпадают под 21-й приказ, но при этом будут аттестовать свои системы по новым ГОСТам - ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013. Проверяющие у них спросят о признаках признания экономической нецелесообразности выбора защитных мер или могут вообще с ними не согласиться.
  • Если в 17-м приказе написано, что СрЗИ должны быть только сертифицированными, то что делать с системами контроля целостности, доступности, управления конфигурацией и т.п.? На что их сертифицировать? При этом я понимаю, почему ФСТЭК на него не отвечает. Там столько подводных камней. И с 199-м приказом, и с общей парадигмой сертификации средств защиты. Число типов средств защиты плодится все больше и больше и ФСТЭК просто не успевает выпускать новые РД под них (учитывая, что изначально РД писались не под средства защиты, а под уровни конфиденциальности/секретности защищаемой информации). А еще и испытательным лабораториям и органам по сертификации надо обучиться их применять. Может пора уже провести четкую грань между средствами защиты гостайны и всего остального? Первые сертифицировать как раньше, а для вторых сменить парадигму?
  • Если потребитель выбирает систему защиты виртуализации для выполнения требований блока ЗСВ, то что должно быть написано в сертификате или ТУ, чтобы заказчик был уверен, что ему продали то, что действительно удовлетворяет требованиям 17-го или 21-го приказа? Ведь не секрет, что многие вендоры/испытательные лаборатории не выдают потенциальным покупателям ТУ до момента сделки. А после оплаты уже поздно спорить. Но опять же, ответ на этот вопрос требует пересмотра существующей системы сертификации средств защиты информации, на что ФСТЭК врядли решится в обозримом будущем.

44 коммент.:

ZZubra комментирует...

А мне понравилось разъяснение ))) Написано для народа - четко и ясно. Лично мне было интересно про СТР-К и планы по выпуску документов, а остальное полностью совпало с моим мнением ))). Но это именно те вопросы которые крайне часто задают те кто впервые берется за выполнение законодательства. Продолжая начатую в твитере Алексеем тему стихов-кричалок: ФСТЭК - респект!

Ригель комментирует...

Прикольные они ребята: 21ый приказ с июня действует, "четверокнижная" методика тоже действует - по идее, вся страна должна быть занята сейчас сизифовой работой, которую в 4 квартале перечеркнут

Tomas комментирует...

ИМХО:
разъяснение в части п. 1,2,4,6,7 хорошее, но вот 3 и 8 никакое! 9 - хитрый изворот, мол мы и не должны то ничего вам, но так и быть...
5 - аттестацию теперь должны проводить по 17 приказу, ок. А что отдельно в аттестате прописывать нужно, что еще выполнены мероприятия по ПЭМИН согласно СТР-К? Таким образом для ГИС нет варианта признать ПЭМИН не актуальным :(

Алексей Лукацкий комментирует...

Ригель: не перечеркнут, не волнуйся

Алексей Т. комментирует...

Не перечеркнут, не волнуйся, ничего нового не увидим. :-) А жаль, потому что методики моделирования как раз и нуждаются в серьезной переработке...

Михаил Новокрещенов комментирует...

По поводу первого пункта. Мне не очень понравилось, что ФСТЭК акцентирует внимание исключительно на аттестации. На мой взгляд согласно приведенным аргументам (с которыми я полностью согласен, и о которых писал на форумах и блогах) границы объяснения следовало расширить. Даже если оператор не успел пройти аттестацию, но выполнил этап классификации, проектирования и тем паче закупку СЗИ по 58 приказу, то вне зависимости от того, успел он аттестовать свою ИСПДн до вступления 17 и 21 приказов или нет, заканчивать работы по созданию системы защиты он имеет право по этому же 58 приказу, т.е. и аттестовать на соответствие требованиям данного НПА.

ZZubra комментирует...

2Томас

А почему Вы считаете, что "в аттестате прописывать нужно, что еще выполнены мероприятия по ПЭМИН согласно СТР-К"? Не как не пойму как Вы к такому выводу пришли.
Ведь СТР-К действует в части не противоречащей, а 17 говорит об отсутствии ОБЯЗАТЕЛЬНОСТИ защиты от ПЭМИН даже для 1 класса (см. ЗТС.1). Только если Вы посчитаете что надо ДОБАВИТЬ такую угрозу, то придется от нее защищаться. Но это мое мнение. А вот как Вы рассуждали?

Tomas комментирует...

2ZZubra:
Аттестат выдается АС по какому-то классу защищенности!
1Г и класс2, например, не особо-то коррелируют... как и УЗ2... (получается 3 разных системы классификации, и если 17 и 21 приказы увязаны еще как-то через 1119, то РД "АС...." тут вяжется не особо).
Однако, форма аттестата соответствия указана именно в СТР-К (и ФСТЭК особенно в последнее время требует четкого соответствия).

Алексей Лукацкий комментирует...

Кроме как через оценку вероятности и ущерба в мире пока еще ничего не придумали в области моделирования угроз. Этот подход останется. А обвязка поменяется

Tomas комментирует...

Почему для ГИС ПЭМИН останется актуальным: п.21 приказа 17 последовательно: 1. базовый набор мер (не нужен ПЭМИН); 2. адаптация базового набора мер (не нужен ПЭМИН); 3. уточнение адаптированного базового набора (не нужен ПЭМИН); 4. ДОПОЛНЕНИЕ (именно дополнение, а не уточнение, см. слово!!!) уточненного базового набора ... установленными иными правовыми актами в области ЗИ... (нужен ПЭМИН, так как СТР-К не отменен и имеет статус обязательного, а не рекомендательного для ГИС, документа)! как-то так... :)

ZZubra комментирует...

Хех, ну в общем то логично, но напишу свое видение, вдруг окажусь прав (и да простит меня Алексей за объем).

>>Аттестат выдается АС по какому-то классу защищенности!

согласен, но вот вопрос, а как выдавали аттестаты на классы ИСПДн? Значит можно выдавать их не только на "1Г"? И я не слышал, чтобы сотрудники ФСТЭК такое запрещали (как крайний вариант, есть куча возможностей оспаривать предписания на разных уровнях как официально так и не официально). Я подозреваю, что форма аттестата имеется в виду в части вопросов, которые там должны быть отражены и сама графическая форма, но явно реальное состояние ИС/ОИ/АС/ИСПДн и их особенности важнее чем строгое следование тем частям документа, которые не соответствуют современным документам. Тем более такие документы сами отсылают к формам аттестата (по ГОСТ, а не по СТР-К или Положению по аттестации). Иначе совсем фигня получится.
Для примера общей ситуации, как примера что не надо переставать дышать, если документы еще не совсем все вопросы регламентируют - мы же живем без документов ФСБ, без которых не можем правильно определить УЗ. И даже кто-то где-то защищает системы по 21 приказу. Наверное. Да?

>>1Г и класс2, например, не особо-то коррелируют... как и УЗ2...

а зачем им коррелировать? Для ГИС есть 17, а СТР-К для них выступает как методический документ (пункт 5 разъяснений). СТР-К и 17 приказ стоят на разных уровнях - один методдокумент (после разъяснения - точно), а другой НПА. УЗ учтен 25 пунктом 17 приказа.

>>(получается 3 разных системы классификации, и если 17 и 21 приказы увязаны еще как-то через 1119, то РД "АС...." тут вяжется не особо).

17 и 21 приказы не увязаны и вообще из разных песочниц. И 17 с 1119 связан фразой (в вольном пересказе)- "если есть в ГИС ПДн, то надо учесть еще и требования 1119". А перечень мер в 1119 не такой и пространный и на 21 не завязан. Про РД (а их надо было исполнять по СТР-К) в связи со статусом и весом СТР-К перед 17 уже написал. Итого получаем отдельные НЕ связанные между собой аттестации по требованиям 17 и по требованиям 21 (ну если аттестация).

>>>Однако, форма аттестата соответствия указана именно в СТР-К (и ФСТЭК особенно в последнее время требует четкого соответствия).

выше уже написал. А вообще: если Вы заказчик - отсылайте к лицензиату и требуйте у него то, чего требует ФСТЭК (собственно, а он в такой проверке выше всех стоит - если их устраивает, то значит устраивает государство), если Вы лицензиат - так обратитесь во ФСТЭК за разъяснениями, вступите в ТК (как призывал Алексей) или придумайте как все же удовлетворить требования ФСТЭКА так, чтобы их это устроило.

>>>Почему для ГИС ПЭМИН останется актуальным: п.21 приказа 17 последовательно: 1. базовый набор мер (не нужен ПЭМИН); 2. адаптация базового набора мер (не нужен ПЭМИН); 3. уточнение адаптированного базового набора (не нужен ПЭМИН); 4. ДОПОЛНЕНИЕ (именно дополнение, а не уточнение, см. слово!!!) уточненного базового набора ... установленными иными правовыми актами в области ЗИ...(нужен ПЭМИН, так как СТР-К не отменен и имеет статус обязательного, а не рекомендательного для ГИС, документа)!

Процитирую:
"дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными НОРМАТИВНО ПРАВОВЫМИ АКТАМИ (к коим СТР-К не относится) в области защиты информации, в том числе в области защиты персональных данных"

Поэтому после вступления в силу 17 приказа я для себя ставлю под сомнение обязательность полного исполнения СТР-К и отношусь к нему как к методичке в которой описаны некоторые способы выполнения отдельных ТРЕБОВАНИЙ 17 приказа (что и написано в разъяснениях).

Вот такое моё видение сложившейся ситуации.

Svyazist комментирует...
Этот комментарий был удален автором.
-)гоист комментирует...

Tomas, а где там требования по ПЭМИН в СТР-К для АС ?
Только соответствие СанПин и ЭМС.

Tomas комментирует...

2ZZubra:
написано много, но все домыслы, пока не убран п.2.3 СТР-К (напоминаю, что говорю только про ГИС). СТР-К должен быть отменен, тогда вопросы снимутся. а пока...
про корреляцию 17 и 21 через 1119 см. п. 5, 27 приказа 17, например :)

2-)гоист: 4.2, 5.1.2, но в целом согласен, это установлено другими ДСПшными документами :)

Евгений комментирует...
Этот комментарий был удален автором.
Евгений комментирует...

Tomas
Вы не путайте ЗП и АС (это касается пункта 4.2 СТР-К) Абсолютно разные вещи, только если вы ЗП не в серверной организовали ;)
Касательно 5.1.2 - вы еще про МОДЕЛЬ УГРОЗ не забывайте ;) А там вы пишите что ПМИН для вас не актуален, потому что:
1)...
2)...
Так же и раньше от ПЭМИНА при защите АС уходили...
Нет, если вам необходима защита от ПЭМИН (в модели написано что боитесь, то конечно) А так - обязательного требования нет...

exp001 комментирует...

Алексей, поясните чем отличаются ГОСТЫ: ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013, разве это не один и тот же ГОСТ, но просто старой и новой версий ??

ZZubra комментирует...

2Tomas:
>>написано много, но все домыслы, пока не убран п.2.3 СТР-К (напоминаю, что говорю только про ГИС). СТР-К должен быть отменен, тогда вопросы снимутся. а пока...

- если хотите считать домыслами - Ваше право
- ФСТЭК воспользовалось своим правом разъяснения своих нормативных актов, кои (разъяснения) становятся (по факту) обязательным приложением к самому нормативному акту, и утвердила для госорганов: СТР-К - не НПА, а методический документ. Все. Никакие пункты 2.3 в методическом документе не могут быть после такого разъяснения обязательными. Так построена правовая система РФ. Отмена СТР-К ФСТЭКу не нужна, т.к. документ подходит для использования его в качестве методрекомендаций. Хотите делать больше чем необходимо - Вам 17 приказ дал такое право. Обязаны ли Вы исполнять СТР-К - ФСТЭК сказал нет.
- в юриспруденции есть стандартные правила разрешения правовых коллизий, поэтому юристы не всегда утруждают себя отменой не действующих документов. От этого система право применения не страдает. Если Вам лично нужно прямое указание на недействительность нормы и Вы не признаете сложившейся практики - такой механизм предусмотрен и называется Суд. Все в Ваших руках.

>>про корреляцию 17 и 21 через 1119 см. п. 5, 27 приказа 17, например :)
Ну и где там связаны 17 и 21? 17 ссылается на 1119 в пунктах 5 и 27. Всё. Где он ссылается на 21? Где 1119 ссылается на 21, чтоб норма из 21 стала обязательной для 17? О какой корреляции Вы говорите? Если о том что оба документа написаны на русском, оба НПА, у обоих похожая структура, похожие (но не одинаковые) наборы мер - то да, корреляция есть. Но применяются в правовом смысле эти документы по-разному.

ZZubra комментирует...

2exp001

Это разные ГОСТы - за разъяснениями лучше обратиться к регуляторам или покапать в других блогах.

Tomas комментирует...
Этот комментарий был удален автором.
ZZubra комментирует...

Если есть ПЭМИН, то руководствоваться надо документом ФСТЭК, который есть у лицензиатов, а не СТР-К.
А обосновывать тут ))) неактуальность ПЭМИН не буду - не место здесь для этого.

Unknown комментирует...

Здравствуйте!
Меня очень интересует....можно ли выполнить требования 21 приказа встроенными средствами Windows???
При условии что мы не гос.орг-ия, у нас нет гос.тайн и обрабатываем иную категорию перс.данных.(т.е. нет биометр, нет спец категорий и общедоступных данных, согласие на обработку ПДн со всех клиентов и со всех сотрудников имеются)

Unknown комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Если вы сократите до минимума модель угроз, то можно. В теории. Но в 21-м приказе есть меры, связанные с сетевой или прикладной безопасностью, которые сложно на уровне ОС реализовать.

Unknown комментирует...

Алексей,спасибо за ответ!!!
Помогите пожалуйста....
Мне нужно обеспечить УЗ-4 типа, какие мне СЗИ купить для мелкой компании (8 АРМ).
Никак не могу понять из всех этих док-ов,что в итоге установить надо,чтобы требования 21 приказ выполнить.
Образования в данной сфере не имею, адекватно сравнить все существующие СЗИ между собой не могу,следовательно и выбрать что то нужное не могу.

Алексей Лукацкий комментирует...

Так никто не скажет сходу. Надо смотреть, какие меры защиты вы будете реализовывать. А это зависит от особенностей вашей системы и модели угроз :-(

Unknown комментирует...

Эхехех...

Алексей Лукацкий комментирует...

Да, это и плюс и минус нового приказа. В нем нет жестко прописанного списка защитных мер, но зато придется самому думать, какие меры должны быть. Гибкость имеет две стороны :-(

Unknown комментирует...

Алексей,вы совершенно правы.Не знаю уже как и подойти к выбору СЗИ.

Unknown комментирует...

Может какой добрый человек напишет методичку "для блондинок" по СЗИ.Видимо придется идти каким то другим путем и выбирать конкретное ср-во и смотреть его возможности.

Алексей Лукацкий комментирует...

Одним средством не ограничиться в любом случае

Игорь А. Михеев комментирует...

Анна, для маленьких компаний, в которых не обрабатывается биомтрия и иные спец. категории ПДН в 95% случаев подходит следующий набор СЗИ:
1. Сертифицированная версия MS Windows 7 или выше (ниже уже невозможно). Получаете выполнение мер защиты от НСД при доступе к ОС и прикладному ПО. Цена сертификации за 1 ПК около 3000 руб. (altx-soft.ru).
2. Security Studio Endpoint Protection от компании "Код безопасности". Имеет три сертификата: антивирус + персональный межсетевой экран + средство обнаружения вторжений. Цена за 1 ПК около 3000 руб. (http://www.securitycode.ru/).
Итого за 1 ПК около 6000 руб. Стоимость установки и настройки не включаю, т.к. зависит от региона, но на практике это 15-30%от стоимости СЗИ.
Помимо этого должны быть приняты меры физической защиты помещений (минимум):
1. Сигнализация с выводом на пульт охраны или пост охранника/сторожа.
2. Опечатывающие устройства на дверях.
3. Хранение ключей доступа (ключи в помещения и электронные ключи доступа в ОС) в сейфе или на посту охраны/сторожа в запираемом металлическом шкафчике.

По поводу методички, планирую издание в электронном виде методичек для малых компаний по направлениям: гостиничный бизнес, салоны красоты, тур. агенства, агенства недвижимости. По всем вопросам пишите: igor.a.mikheev@outlook.com.

Unknown комментирует...

Алексей, в идеале конечно несколько СЗИ иметь на все случаи жизни, не знаю правда как мне на практике удастся убедить купить несколько СЗИ.

Игорь А.Михеев, спасибо за ответ!
А вот если обрабатывается иная категория ПДн т.е. сведения о цб и денежных ср-вах т.е все связанное с доверительным управлением цб (реквизиты банковских счетов, сведения об имущественном положении в общем то)+ ПДн сотрудников, но компания маленькая и клиентов мало т.е это не вот тебе корпорация, а региональная организация.
1. ОС Windows 7

2. Я как раз присматриваюсь к Security Studio Endpoint Protection.

Орг.меры у меня приняты уже)

Спасибо за ориентир!!!

Игорь А. Михеев комментирует...
Этот комментарий был удален автором.
Игорь А. Михеев комментирует...

Анна, я указал именно для ИСПДн где обрабатываются только "иные ПДн". Это типовое решение, которое удовлетворит проверяющих.
Но если Вы действительно хотите защитить данные Ваших клиентов, то лучше рассматривать вопрос применения криптосредств (например: Secret Disk + CryptoPRO), вместо сертификации ОС Windows, плюс Security Studio Endpoint Protection. Такое решение дороже (примерно в 2 раза), но зато гарантирует защиту данных даже если из офиса вынесут все компьютеры.

Unknown комментирует...
Этот комментарий был удален автором.
Unknown комментирует...

Алексей, Вы в этой треде употребляете такое понятие как "Модель угроз", тем не менее в предыдущих Ваших статьях Вы пишете о том, что оператор не разрабатывает Модель угроз ПДн. Уточните, пожалуйста, для выполнений требований 21 Приказа ФСТЭК России необходимо все-таки разработать Модель угроз? Вообще, как это с практической стороны

Алексей Лукацкий комментирует...

Елена, я вот тут http://lukatsky.blogspot.ru/2013/06/8_13.html про это писал. Коллизия :-(

Unknown комментирует...

Алексей, этот пост я имела ввиду! Получается он никак не взаимосвязан с этим. Там Вы пишете о том, что оператор не разрабатывает Модель угроз, а тут пишете "сократить модель угроз". Теперь непонятно, писать или не писать все-таки Модель угроз.. К примеру, у Банка России есть старая Модель угроз, пока они не разработают/согласуют новую, Банки должны разработать свою?

Алексей Лукацкий комментирует...

Он связан :-) Просто решений задачи может быть несколько. Можно ничего не делать, сославшись на ФЗ-152, который лишил оператора ПДн права самостоятельно создавать модели гроз. Можно наплевать на отсутствие права и сделать все-таки модель угроз (ведь защищаться все равно надо). Можно направить официальный запрос отраслевому регулятору. Можно... Да много чего еще можно. Итоговое решение принимать оператору, а от него уже танцевать дальше. Я сторонник, что модель все равно нужна. Никакая отраслевая модель не сможет учесть всех нюансов конкретной организации. Именно поэтому в законопроекте мы вносили пункт, что оператор имеет право до принятия отраслевой модели угроз самостоятельно разработать свою. Но пока законопроект не принят

Unknown комментирует...

Алексей, спасибо огромное за подробный ответ!

Unknown комментирует...

Хороший блог, много полезной логики, скажем так, для себя нашел.

У нас (муниципальный орган - ЗАГС) решили все ИСПДн (а других - нет) считать муниципальными ИС (и то, что связанно с регистрацией АГС и бухгалтерию).
Классифицировали по 17 потом по 1119 и в итоге сформировали перечень мер на основе обоих приказов.
----
Только есть одна заминка.
СОВ - средство обнаружения вторжения.
Из всех программных средств нашлось только Security Studio Endpoint Protection.
А с ним МЭ идет. МЭ у нас есть (аппаратный), а еще есть - программный VipNet Coordinator, так же имеющий свой МЭ.
VipNet нужен, как СКЗИ, но от МЭ никуда не деться.
Лицензиат (!) сказал, что Security Studio Endpoint Protectio и VipNet будут 100% конфликтовать.
Как выполнить требования СОВ - остается загадкой, если конечно не покупать дорогие аппаратные средства, например от Cisco.

Алексей Лукацкий комментирует...

Программная СОВ, стоящая только на ПК, это не то, что предполагалось по нормативке. Там идея в установке системы, прикрывающей целые сегменты сети.

Unknown комментирует...

Да, наверное, предполагается устанавливать аппаратный СОВ там же где аппаратный МЭ.
Но стоят они дорого, а требование выполнять необходимо, к сожалению.