27.09.2018

Оценка соответствия средств защиты информации (презентация и видео)

Как и обещал, мы провели вебинар, посвященный вопросам оценки соответствия средств защиты информации по требованиям регуляторов (с упором на требования ФСТЭК). В рамках мероприятия попробовали оценить не только текущее состояние рынка сертифицированных решений, но и спрогнозировать тенденции (они не очень позитивные с точки зрения потребителей) в этой сфере. Также поговорили о том, чем можно заменить сертификацию, не нарушая законодательства. За час с небольшим удалось пройтись почти по всем заявленным темам. Презентацию выкладываю:



Не обошлось и без описания планов Cisco в области сертификации, но тут уж ничего не поделаешь :-) Помимо презентации выложили и видеозапись мероприятия. На первых минутах, оказалось, была проблема со звуком, поэтому слушать лучше с 10-й минуты (до этого есть только картинка без озвучки).

1 коммент.:

Евгений комментирует...

Алексей, вы часто говорите по теме "оценка соответствия не равно сертификация".
Есть ли у вас примеры успешной реализации этого подхода в серьезных организациях? Возможно, не вызвавшей замечаний от регулятора, если он что проверял эту организацию? Готовых публично об этом рассказать, поделиться опытом?

Мне видятся следующие риски проведения "Оценки соответствия в рамках ПМИ", может вы их прокомментируете?

На мой взгляд, это выглядит как своего рода само-сертификация - проверка функций ИБ используемых решений, аналогично как при сертификационных испытаниях. Не просто же издать приказ "О принятии в эксплуатацию" без каких-либо проверок?
Но тогда это является лицензируемым видом деятельности, ТЗКИ?

Если организация своими силами - для собственных нужд - еще ладно. Хотя насколько я знаю, ФСТЭК так и не принял эту формулировку в официальных документах (как ФСБ в 313 постановлении)?

Но вот для интеграторов это ведь однозначно лицензия?
Как относится ФСТЭК к реализации такого подхода его лицензиатами, было подтверждение приемлимости? Или это риск?

Второй момент - в случае обновления версий получается необходимо проводить повторные испытания, ведь исполняемые файлы ПО (или прошивка железа) уже другие?
Насколько я понимаю, описанная схема оценки соответствия, это скорее аналог поэкземплярной сертификации, а не серийной?
Поэтому вопрос трудоемкости такой проверки получается достаточно важен.