В Secret Net 7 исправлена критическая уязвимость - Форум по вопросам информационной безопасности

Не пугайте человека зря. Замена SN 6.5 на SN 7 при условии сохранения настроек и неизменности техпроцесса - сомнительный повод для повторной аттестации. Тем более по причине устранения уязвимости. Следует обратиться к конторе, проводившей аттестационные испытаний. В конце концов - это всецело их решение должно быть. Но советую договориться с ними либо о самостоятельной переустановке + внесении изменений в Техпаспорт и проч. внутренние документы (с официальными письмами, дескать, действие Аттестата не приостанавливается). Либо о замене СЗИ в рамках ежегодного контроля эффективности (органы по аттестации тоже кушать хотят - за символическую сумму, думаю, КЭ всех устроит).

"сомнительный повод для повторной аттестации"
А на основании чего такое мнение?Где критерии сомнительности? Решает орган, выдавший аттестат! Замена большинства документов+кардинальная переустановка системы защиты, новая проверка соответствия требованиям, не проверка неизменности не контроль возможных изменений (объем работ в части НСД - объем аттестации).
Новые данные при отчете во ФСТЭК. Процедуры "обновления" аттестата и "дописки" в реестр аттестованы объектов нет!
Хотя процедура прикрытия фиговым листком подобных изменений некоторые органы практикуют беря на себя ответственность .Иногда ФСТЭК дерет, иногда Айяйай.

"Тем более по причине устранения уязвимости."
Причина окончание аттестата на 6 версию. Хотите устранить уязвимость устраняйте обновлением 6 версии.

to sekira
1. Выборочно читаете, тов. sekira... Выше писал аналогичное: "Следует обратиться к конторе, проводившей аттестационные испытаний. В конце концов - это всецело их решение должно быть."
2. Сомнительность - это всецело мое мнение, а не ФСТЭК или еще кого-либо. Топикстартеру все равно необходимо к органу по аттестации обращаться.
3. SN7 от SN6 для автономных АРМ (да и для сетевых по большому счету) отличается, мягко говоря, ничем. Наличие уязвимости в ядре, начиная с версии 5.0, это наглядно показало. Так что объективных посылок для "кардинальной переустановки системы защиты" и "проверки соответствия требованиям" нет. При сохранении настроек будут выполняться все меры защиты от НСД, а новых каналов утечки не появится, за исключением смены зав. № и ГЗС в документации. Так на то и существуют Тех.паспорт и процедура официальных писем. Просто никто обычно заморачиваться не хочет (эксплуатанты - писать аттестаторам, аттестаторы - эксплуатантам и во ФСТЭК). Иные предпосылки - это, выражаясь вашим же языком, не более чем "фиговый листок" (вернее, новый листок под названием "Протокол... НСД" и/или "Аттестат соответствия...", чтобы ничего не доказывать регулятору и прикрыть свою пятую точку на случай).
4. Ежели у топикстартера проблема в паре-тройке месяцев эксплуатации SN6 без сертификата (тут мой косяк, согласен, не доглядел про аттестацию в 2017 г.), то, мое личное мнение - получить у органа по аттестации письмо с разрешением. Тем более, если у него же заказать повторную аттестацию. На крайний случай - обратиться официально во ФСТЭК по своему ФО, объяснив ситуацию. Встречаются, конечно, дауны и среди аттестаторов, и среди регуляторов (закончился сертификат - в тот же день следует прекращать эксплуатацию! - вне зависимости от условий). Но, думаю, договориться удастся.

"отличается, мягко говоря, ничем"
многим.. если речь об АС а не о СЗИ
Необходимо полностью переустанавливать и перенастраивать СЗИ

"При сохранении настроек будут выполняться все меры защиты от НСД"
настройки будут другие, контрольные суммы другие, многие механизмы даже другие (например учет носителей, дискретный доступ и др.)

"аттестаторы - эксплуатантам и во ФСТЭК"
А во ФСТЭК зачем? Что в письме напишите?

"под названием "Протокол... НСД" и/или "Аттестат соответствия...""
Про документацию на объект не забыли? Почти всю новую?И про Акт установки СЗИ НСД?

" получить у органа по аттестации письмо с разрешением."
А вот тут поподробнее..? Где описана подобная процедура и где право органа по аттестации письмом, а не процедурой аттестации со всеми вытекающими (аттестационные документы и отчет во ФСТЭК) продлять действие аттестата на АС?

"закончился сертификат - в тот же день следует прекращать эксплуатацию! - вне зависимости от условий"
Это не дауны это закон у нас в стране такой в области аттестации ОИ.

to sekira
1. Ничем. Меняются бумаги, а не АС. Если речь не идет об АСЗИ (где СЗИ встроены в АС по техпроекту).
2. Настройки те же, если речь не идет о терм.доступе + дискреционку в SN вообще можно отключить, ага - это необязательный механизм.
3. Во ФСТЭК уведомление о сложившейся ситуации, если уж совсем необходимо получить официальный ответ. Один вопрос, когда пишет эксплуатант, другой - когда лицензиат.
4. Опять читаете по диагонали... документация на объекте изменяется, об этом я уже говорил. Только она "фиговым листком" не является. "Прикрышка" - это требовать новой аттестации (и аттестационной документации, соответственно) в сложившейся ситуации...
5. Если бы все процедуры были описаны в законе - работать было бы крайне удобно, а вот читать такие законы - нет. Прекрасно понимаю главный принцип защиты информации в нашей стране - грамотно переложить ответственность. В частности, да, аттестатор не захочет просто так на себя брать ответственность за эксплуатанта, а регулятор - за письма аттестатора, косвенно идущие в разрез с подзаконными актами. Но если мы и дальше будем работать по такому принципу - толку всегда будет 0.
*в сторону* все подобные "каверзные" вопросы обсуждаем с местным управлением ФСТЭК. По части из них удается добиться положительного решения (аля не приостанавливать действие Аттестата на 2 месяца из-за бумажек, а не фактического снижения защищенности). Возможно, к нашей конторе такое отношение. Возможно, тов. из местного ФСТЭК готовы к диалогу, а не тупо действовать "строго по бумажке"...

"+ дискреционку в SN вообще можно отключить, ага - это необязательный механизм"
вот тут не понял... можно поподробнее?

"Меняются бумаги, а не АС"
меняется "...условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации ".

"главный принцип защиты информации в нашей стране - грамотно переложить ответственность".
Я не считаю что это главный принцип ЗИ у нас в стране.

to sekira
1. Раздел руководства администратора SN7 - механизмы под классы АС. Насколько я знаю, это выжимка из ТУ. Про дискреционку средствами самого SN ни слова. Вывод - как в SN6 настраивали средствами ОС, так и можно продолжать делать. Отключается через "Панель управления SN". Механизм однозначно сырой и кривой (очень часто вступает в конфликт с правами ОС). При его отключении не теряется возможность контроля устройств, печати и проч.
2. Замена версии (не типа, прошу заметить) СЗИ от одного и того же разработчика - это изменение условий функц. ОИ и технологии обработки информации? ИОД средствами СЗИ обрабатывается? Или, возможно, в нашем случае в корне меняются защитные механизмы, что и ОИ начинает по-другому функционировать? Не смешите меня, пожалуйста... Другой вопрос замена SN на тот же DL или Аккорд. Да, другая настройка, которую неграмотный или полуграмотный эксплуатант навряд ли сумеет повторить аналогично ранее установленному SN. В этом случае, согласен, проведение контрольных испытаний полностью правомочно.
3. Как же так? Вы на форуме часто обсуждаете в эту игру под лозунгом "кто виноват? эксплуатант / аттестатор / регулятор?". И чаще всего вывод - эксплуатант неправ, потому что дурак; аттестатор неправ, потому что халявщик; регулятор неправ, потому что закон кривой. А в итоге по шапке прилетает все-таки тому, кто не сумел обосновать свою невиновность. Это и называется "грамотное перекладывание ответственности"...

Про дискреционку средствами самого SN ни слова. Вывод - как в SN6 настраивали средствами ОС, так и можно продолжать делать.

Ошибочный вывод. Механизм есть и он заявлен в ТУ и проверялся при сертификации на СВТ данного СЗИ.

"Вывод - как в SN6 настраивали средствами ОС, так и можно продолжать делать"
То же не есть правда, исходя из написанного выше.

"аттестатор неправ, потому что халявщик"
это не понял... поясните пожалуйста.

Недавно сотрудники 2 УФСТЭК проводили занятия со специалистами по ЗИ из ФОИВов. Было заявлено, что ФСТЭК считает, что повторная аттестация должна проводится только в 2-х случаях:
1. прошло 3 года.
2. повысилась категория ОИ.

В остальных случаях - доп. контроль.
Было рекомендовано сообщать во ФСТЭК о наиболее "ретивых" органах по аттестации, которые при малейшем изменении навязывают заказчику повторную аттестацию.

"что ФСТЭК считает, что повторная аттестация должна проводится только в 2-х случаях"
а пусть то что он считает он в бумагу или в информационное письмо, временные указания и т.д. изложит...
А пока "Положение по аттестации..." никто не отменял и не поправлял.
"Правила игры" новые где? Пока словоблудие...