Адрес документа: http://lib.itsec.ru/forum.php?sub=12957&from=0
| Автор: STL | 68432 | 30.01.2017 09:07 |
|
Подскажите пожалуйста по поводу нового перечня ФСТЭК (), по поводу п. В. Какими средствами можно закрыть требования?
|
|
| Автор: Бутч | 68433 | 30.01.2017 14:50 |
|
Чем конкретно закрыть пп.20-26, 29-33, в целом ещё можно понять, по-крайней мере мне понятно, но чем закрыть эти пункты?:
27. Средство автоматизированного реагирования на инциденты информационной безопасности 28.Замкнутая система (среда) предварительного выполнения программ (обращения к объектам файловой системы) |
|
| Автор: ieshua | 68438 | 30.01.2017 21:07 |
|
по п.28, например, secret net
|
|
| Автор: Toe | 68448 | 31.01.2017 10:30 |
|
Добрый день. Пункты из перечня ФСТЭК 15, 16, 17 обязательны для приобретения? По 19 пункту - "Поиск остаточной информации на носителях.", как я понял, сюда подходит Терьер. "Анализ защищенности сетей передачи данных." что нибудь путного кроме Х-Спайдера и Сканера-ВС, которое бы работало с БДУ ФСТЭК есть? Когда-то тут на форуме обсуждалось, что кое что планируется, но ничего точного не было. А "Сбор информации о подключении съемных машинных носителей информации к средствам вычислительной техники" - это СЗИ от НСД, по крайней мере, там реализовано такое.
По 21 пункту тоже хотелось бы уточниться. Все прописано одним абзацем, а того что подходило бы под это определение ничего в голову не приходит. |
|
| Автор: Бутч | 68453 | 31.01.2017 16:19 |
|
Под п.21."Система контроля (анализа) защищенности информационных систем" возможно можно отнести Max Patrol.
|
|
| Автор: Евгений | 68454 | 31.01.2017 20:00 |
|
А про п. 22 "Средства, предназначенные для осуществления тестирования на проникновение" что можно отнести? Наврядли всякие средства типа СканерВС, РевизорСети.
Первое что приходит "на ум" KaliLinux. |
|
| Автор: oko | 68455 | 31.01.2017 22:13 |
|
to Евгений
Нет же приписки, что "Должно иметь сертификат ФСТЭК России...", так что и Kali подойдет :) |
|
| Автор: malotavr | 68457 | 31.01.2017 23:22 |
|
П. 21 - те сканеры, которые обеспечат поддержку БДУ. Разработчикам дан некоторый срок на их доработку, так что о конкретных решениях можно говорить будет говорить только к лету. MP8 поддерживает БДУ по определению, так как его разработчики свою роль в наполнении базы сыграли :)
П. 22 - любой хакерский инструментарий, который используется пентестерами. Пока можно заявлять любые средства, после вступления в силу ГОСТ "Состав и содержание работ по выявлению уязвимостей" надо будет обосновывать, для каких именно работ какой из заявленных инструментов используется. Сертификация таких средств в обозримом будущем не требоваться не будет. |
|
| Автор: malotavr | 68458 | 31.01.2017 23:23 |
|
Тьфу ты, "в обозримом будущем требоваться не будет"
|
|
| Автор: malotavr | 68459 | 31.01.2017 23:30 |
|
> 27. Средство автоматизированного реагирования на инциденты информационной безопасности
Любая, хоть самописная, система управления заявками, которая может автоматизировать работу с тикетами реагирования на инцидент. Есть специализированные разработки (мы такую дял коммерческих и ведомственных центров ГосСОПКА сделали), но можно и самис сделать на основе какого-нибудь сервис-деска > 28.Замкнутая система (среда) предварительного выполнения программ (обращения к объектам файловой системы) "Песочница". Специализированная среда виртуализации, в которой в виртуальной машине можно запустить подозрительную программу и на уровне гипервизора отслеживать подозрительную активность (выполнение системных вызовов ядра ОС, попытки встроить програмный код в сторонние процессы и т.п.). Нужна для обнаружение малвари, которая пока что не детектится антивирусами. |
|
| Автор: Toe | 68473 | 01.02.2017 05:14 |
|
П. 21 - узнали примерную цену на МP8 - цены космические. Покопался на сайте ФСТЭКа и нашел такой продукт как RedCheck. По характеристикам подходит под этот пункт. Кто нибудь работал с ним?
П. 22 - а то что эти инструментарии антивирусы, в основном, видят как вирусы, ФСТЭК ничего не будет говорить по этому поводу? Тот же самый IntercepterNG. |
|
| Автор: malotvr | 68499 | 01.02.2017 17:44 |
|
П. 21 - Если вы заявите в качестве сканера RedCheck и начнете оказывать услуги организациям, в которых информационные системы живут на Юниксах и Оракле, которые RedCheck анализировать не умеет, огребете кучу неприятностей и от заказчика, и от регулятора. Позиция ФСТЭК по этому поводу очень простая: на рынок услуг мониторинга защищенности будут допускаться только те, кто а) умеет это делать профессионально и б) обладает инструментарием, который действительно пригоден для решения такой задачи.
П. 22 - а какая разница? Инструментарий нужен для проведения тестирования на проникновение, а при таком тестировании специалист использует свой собственный ноут. Наличие антивируса на проверяемых машинах не мешает ему никак от слова "совсем". Тот факт, что некоторые антивирусные вендоры считают такие программы "типа вредоносными" - это личная драма антивирусных вендоров. |
|
| Автор: WORM, MK | 68500 | 01.02.2017 19:05 |
|
" на рынок услуг мониторинга защищенности будут допускаться только те, кто а) умеет это делать профессионально "
Очень интересно, как регулятор будет это оценивать. Если лицензиат отучится по "примерной" программе переподготовки, которую утвердила ФСТЭК, то он, бедняга, даже слов таких не узнает "тестирование" и "сканер безопасности". Их программа не выходит за рамки СТР-К, спасибо ГНИИИ ПТЗИ, они, видимо, не в курсе, что существует 17-й приказ... З.Ы. По формальным признакам, RedCheck вполне годится для получения лицензии. А вот при выполнении работ лицензиатом возможны варианты... |
|
| Автор: Бутч | 68509 | 02.02.2017 08:31 |
|
"""Очень интересно, как регулятор будет это оценивать. Если лицензиат отучится по "примерной" программе переподготовки, которую утвердила ФСТЭК, то он, бедняга, даже слов таких не узнает "тестирование" и "сканер безопасности". """"
Верно подмечено. Могу конечно ошибаться, т.к. не владею полной информацией, но о сканерах, пентестах, тестировании на уязвимости и т.п., обучают, в основном, на курсах c наименованием "Этичный хакинг и тестирование на проникновение", причём эти курсы более заточены на подготовку к международной сертификации CEH - Certified Ethical Hacker, нежели для подготовки специалистов, выполняющих лицензионную деятельность ФСТЭК, а именно "мониторинг информационной безопасности средств и систем информатизации". |
|
| Автор: Toe | 68517 | 02.02.2017 11:41 |
|
Вот варианты ПО и интересуют. Начальству только с одним вариантом заходить очень плохая идея :)
Вот было бы 3-4, можно отчего-то отталкиваться. А XSpider 7.8 и Сканер-ВС могут подойти под П. 21 ? Конечно, некоторого функционала нету, но более-менее подходит. |
|
| Автор: Бутч | 68521 | 02.02.2017 14:18 |
|
Плохая идея - это заходить к начальству с вариантами, которые по функционалу, в теории сравнимы, а по цене сильно отличаются )))
А то зайдете с вариантами: XSpider, Ревизор Сети, Сканер-ВС и начальство одобрит закупку Ревизора Сети... будете не рады. |
|
| Автор: Евгений | 68522 | 02.02.2017 15:07 |
|
А может вообще не стоит лицензироваться на данные работы, если не понимаешь в этом ничего и не можешь выбрать инструментарий для работы и надо ли это Вашей организации, а оставить это людям знающим и умеющим проводить данные работы? А то появится куча организаций оказывающих некачественные услуги.
По поводу курсов, направление относительно "новое" думаю что организации, которые сейчас проводят подобные курсы попробуют доработать, согласовать свои программы обучения, а там может быть регулятор и методики какие нибудь сделает. |
|
| Автор: STL | 68565 | 06.02.2017 09:48 |
|
Евгений | 68522 А может вообще не стоит лицензироваться на данные работы, если не понимаешь в этом ничего и не можешь выбрать инструментарий для работы
как я понимаю п.п. 21 и 22 затрагивают не только соискателей лицензий, обладателям лицензий также надо дополнять свои средства контроля защищенности |
|
| Автор: Бутч | 68572 | 06.02.2017 13:11 |
|
>>>как я понимаю п.п. 21 и 22 затрагивают не только соискателей лицензий, обладателям лицензий также надо дополнять свои средства контроля защищенности
Дополнять придётся в основном по п.22, т.к. п.21 действовал и ранее. Что касаемо п.22 "Средства, предназначенные для осуществления тестирования на проникновение", то из-за отсутствия иметь сертифицированное ФСТЭК средство, проблем нет, благо в наличии немало ПО, которое можно получить и использовать безвозмездно. |
|
| Автор: squer | 68619 | 08.02.2017 16:06 |
|
Уже имеется лицензия по ТЗКИ, однако в новом перечне КИО у нас нет требуемого КИО. Подскажите кто какое оборудование использует согласно п.п 1-3,6,8,11,13
|
|
| Автор: Влад | 72355 | 31.05.2017 09:38 |
|
Подскажите, пожалуйста, какое реальное сертифицированное Средство контроля подключения устройств есть в продаже?
Данное средство должно выполнять сбор информации о подключении съемных машинных носителей информации и других устройств к средствам вычислительной техники. |
|
| Автор: 12 | 72356 | 31.05.2017 09:48 |
|
Сканер-ВС модуль Инспектор для Windows
|
|
| Автор: Влад | 72360 | 31.05.2017 10:39 |
|
Посмотрел описание на данное ПО, среди функциональных возможностей:
- инвентаризация программных и аппаратных средств: версия и тип операционной системы, перечень установленного программного обеспечения, параметры монитора, лицензионные номера, перечень подключавшихся USB флеш-накопителей. Как-то мало для контроля подключения устройств. Не указано про разъёмы, отличные от USB, да и потом помимо флеш-накопителей есть прочие типы устройств. |
|
| Автор: Евгений | 72364 | 31.05.2017 16:51 |
|
12 | 72356
Сканер-ВС Инспектор ниразу не средство контроля подключения съемных машинных носителей информации, профили защиты ИТ.СКН.ПX.ПЗ почитайте. Влад | 72360 Открывайте реестр сертифицированных средств защиты и ищите продукты сертифицированные по профилям защиты ИТ.СКН.ПX.ПЗ. |
|
| Автор: Влад | 72366 | 01.06.2017 08:05 |
|
>> Открывайте реестр сертифицированных средств защиты и ищите продукты сертифицированные по профилям защиты ИТ.СКН.ПX.ПЗ.
Таких продуктов всего ничего, Dallas Lock, да Device Lock. Оба продукта являются скорее СЗИ от НСД, нежели средством контроля защищенности информации, которое можно использовать в рамках лицензируемой деятельности. Средство контроля подключения устройств должно применяться при выполнении следующих работ: б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; г) аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации. |
|
| Автор: Евгений | 72453 | 01.06.2017 15:19 |
|
Влад | 72366
"Оба продукта являются скорее СЗИ от НСД, нежели средством контроля защищенности информации, которое можно использовать в рамках лицензируемой деятельности." Тогда что вы подразумеваете под средством контроля подключения устройств, точнее какой функционал Вам нужен? |
|
| Автор: Влад | 72454 | 01.06.2017 15:38 |
|
Евгений-72453, лично я ничего не подразумеваю, такую формулировку приводит ФСТЭК в Перечене, который был утвержден директором ФСТЭК России 19 апреля 2017 г.
Функционал я уже указывал, он приводится в Перечне: - Сбор информации о подключении съемных машинных носителей информации и других устройств к средствам вычислительной техники. От себя я ничего не добавлял, как есть, так и написал. |
|
| Автор: Z | 72455 | 01.06.2017 15:43 |
|
А подскажите, знающие люди, по поводу осцилографа - какие ТТХ он должен иметь, не нашёл нигде требований...
|
|
| Автор: Влад | 72460 | 01.06.2017 16:14 |
|
Z | 72455 , возможно ТТХ приведены в ГОСТ Р 53112-2008. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний.
Этим ГОСТом обязаны руководствоваться лицензиаты ТЗКИ при выполнении лицензируемых видов деятельности. |
|
| Автор: Chechaco, MASCOM | 72469 | 01.06.2017 22:11 |
|
Всем доброго времени суток :)
Не обольщайтесь, коллеги, нет таких требований. Нет от слова "вааще" ;) И в упомянутом стандарте - тоже. И упоминание стандарта в контексте "...обязаны руководствоваться лицензиаты ТЗКИ при выполнении лицензируемых видов деятельности" тоже весьма сомнительно. В соответствии с Законом о тех. регулировании и кучей других Постановлений, Указов и т. д. исполнение ГОСТ обязательно только при явно сформулированном требовании заинтересованным министерством (ведомством). А наш уважаемый регулятор упомянул два ГОСТ-а 2008 года только в самых последних НМД. И то, к аттестации ОИ не имеющих никакого отношения. В проектах - да, есть упоминания. Но это же ещё проекты, а не утверждённые документы! Так что не ищите, думайте сами. И, заодно, в "карман" не забудьте заглянуть. Цена вопроса (если Вам для работы, а не для "галочки") начинается миллионов с 4,5... А всё менее дорогое - пустая трата денег. О ТТХ можно говорить много, но смысла нет. Это конкретный разговор, именно для Вас, с обсуждением того, для чего, собственно, Вам осциллограф нужен. Очень ориентировочно, с отставанием на 5-7 лет (а сегодня это очень долго!), можно ориентироваться на требования другого регулятора. Разумеется, если у Вас есть его лицензия и материалы 2012 года. Xfr |
|
| Автор: SecSec | 74477 | 28.07.2017 11:41 |
|
Я не пойму, пункт 20 нового перечня, средство контроля подключения устройств. Оно нужно чтобы мы приходили на аттестуемый объект и собирали инфу на их объекте? То есть сканер-ВС все таки подходит?
|
|
| Автор: Z | 80274 | 24.10.2017 14:13 |
|
По поводу осциллографа.
Перечень контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 Утвержден директором ФСТЭК России 29 августа 2017 г. 17. Осциллограф высокочастотный. Диапазон измеряемых параметров: 0…5 ГГц. Количество входов не менее 2 Откуда такой диапазон? |
|
| Автор: Горшок | 81486 | 31.10.2017 11:39 |
|
Этот осциллограф нужен для получения лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации, а не по ТЗКИ
|
|
| Автор: Z | 81490 | 31.10.2017 13:10 |
|
to Горшок
"Этот осциллограф нужен для получения лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации..." Так в методиках касающихся конфиденциальной информации упоминается максимальный диапазон отличающийся от 5 ГГц... отсюда и вопрос. |
|
| Автор: sekira | 81510 | 01.11.2017 08:26 |
|
Перепутали с частотой дискретизации :))
|
|
| Автор: Frp | 82970 | 29.11.2017 17:48 |
|
Доброго времени суток, возник вопрос при подаче на лицензию по пункту Б (услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации). По перечню КИО от 19 апреля 17 года не совсем понятно чем закрыть пункты:
20.Средства контроля подключения устройств (решили прикрыть Далас Локом, но насколько это легитимно?) 22.Средства (системы) контроля (анализа) защищенности информационных систем (не прикрыли ничем т.к. в функциональных характеристиках есть пояснение вида "выявление уязвимостей (кода, конфигурации и архитектуры) в них, анализ и управление выявленными уязвимостями с учетом угроз.Должны иметь сертификаты соответствия ФСТЭК России" платить 300 тыс за сертифицированные средства "выявление уязвимостей кода" желания у нас нет, ФСТЭК говорит что раз буква Б присутствует значит средства должны соответствовать всем требованиям, и без разницы что там еще пункты В,Г,Д) Посоветуйте пожалуйста решение данной проблемы. |
|
| Автор: oko | 82972 | 29.11.2017 19:30 |
|
to Frp
Недавно переоформляли, поделюсь опытом. Не знаю, как получится у вас - в ЦА ФСТЭК часто решения меняются в зависимости от... КСМНИ закрывали в составе любого сертифицированного по данному профилю СЗИ НСД (сейчас это Dallas Lock 8.0 C и К, Secret Net Studio - другие мне не известны). Впрочем, от себя вообще вписали Secret Net 7 - тоже прокатило (ибо сертификат был до вступления в силу профилей КСМИН, но продленный и действующий)... Средства АНЗ описали применением классических сетевых сканеров безопасности (Сканер-ВС, Ревизор Сети, XSpider). Цена у них разная и варьируется от 10к, кажись. Никакого анализа кода не вписывали. Это вообще в прямом смысле пункт для сертификационных лабораторий, а не лицензиатов ТЗКИ... ЗЫ И да, все очень тупо. Потому что средств КСМНИ портативных (которые можно на объекте использовать для выявления, например, подключенных к АС сторонних устройств) в природе не существует (сертифицированных). Они пока идут в составе СЗИ НСД. Так что кому в голову пришло это писать в КИА - в своей АС (ИС) для обработки КОНФИ еще понимаю, но уж явно не контрольно-измерительная аппаратура - не ясно... Есть у меня одна разработка легковесная и говнокодерская. Как раз выявляет все подключенные к Win USB-устройства. И по win-номерам, и по зав. номерам. Сертифицировать, что ли? :) |
|
| Автор: malotavr | 82973 | 30.11.2017 00:20 |
|
> выявление уязвимостей кода
Вы путаете "поиск уязвимостей кода" (класс уязвимостей в соответствии с ГОСТ по классификации уязвимостей) и поиск "поиск уязвимостей в исходном коде". Уязвимости кода - это уязвимости, устраняемые установкой обновлений. MaxPatrol, конечно, "наше все", но для получения лицензии достаточно любого из перечисленных oko сканеров уязвимостей. Но на всякий случай все-таки имейте в виду, что потом, при использовании сканеров в лицензируемой деятельности, надзорный орган может задать вам резонный вопрос "а как это вы сканером X искали уязвимости в Huawei, если по документации он этого делать не умеет". Были прецеденты :) |
|
| Автор: oko | 82974 | 30.11.2017 01:08 |
|
*в сторону, но навеяно тов. malotavr*
NMAP (тьфу ты, "Ревизор Сети", конечно) -> какой-нибудь открытый сервис на шлюзе сети (web-морда, ssh, etc) -> osscan или общее знание топологии и применяемых средств (мы ж для Заказчика стараемся, а не blackbox изучаем) -> попался, Huawei -> версия VRP -> запрос в Гугл (или "экспертная оценка", чтобы нагнать туману и серьезности) -> примерная версия прошивки -> запрос в CVE (повторно, тьфу ты, в БДУ, конечно) -> перечень актуальных уязвимостей -> поиск по Metasploit (или опять "экспертная оценка") -> применение эксплойта -> оформление Протокола = profit! :) |
|
| Автор: malotavr | 82975 | 30.11.2017 04:16 |
|
Браво! :) Некоторые крупные консалтинговые компании именно так и проводят "ASV-сканирование толпой индусов" :)
Но я бы еще добавил -> "NIST Checklist Repository" -> проверка настроек -> дополнение протокола уязвимостями конфигурации |
|
| Автор: oko | 82989 | 30.11.2017 10:07 |
|
to malotavr
Все остальное уже по вкусу. А что до толпы индусов - суть ответа-то была проста: "Как вы проводите выявление, если... не умеет - Вручную!" И все довольны, никто не "попал" :) |
|
| Автор: Безопасник777 | 97595 | 24.07.2018 08:51 |
|
Добрый день!
Повторю вопрос без внимания от Toe () Пункты из перечня лицензии ФСТЭК 15, 16, 17 обязательны для приобретения? 15** Оптические тестеры (измерители мощности) 16** Рефлектометры (микрорефлектометры) в примечании подписано: «**» - средства необходимы при проведении работ (оказании услуг) при применении волоконно-оптических систем передачи информации. (ВОСП) Из самого перечня непонятно обязательны или нет, ибо указано примечание, которое можно интерпретировать как "не обязательно" хотя в названии самого перечня " оборудования, необходимого для..." Кто уже получал лицензии с учетом последних изменений в нормативке, откликнитесь! |
|
| Автор: Valer | 97674 | 25.07.2018 04:30 |
|
В какому решению в итоге стоит обращаться по п.28? Актуальные "песочницы" имеют ряд ограничений в плане использования в коммерции + вопрос: по какому формату писать формуляры на свободное ПО
|
|
| Автор: Горшок | 97695 | 25.07.2018 08:21 |
|
Автор: Безопасник777 | 97595
Лицензионный отдел ФСТЭК считает необходимым их наличие. Так что нужно приобретать |
|
| Автор: 12 | 97708 | 25.07.2018 13:15 |
|
Если работы с ВОСП не планируются, то пп. 15 и 16 не нужны (у львиной доли лицензиатов таких средств нет).
|
|
| Автор: Влад | 106938 | 25.07.2019 10:19 |
|
Коллеги, что из реального может соответствовать п.37 Перечня?:
Средства для автоматизации процессов тестирования средств защиты информации (средства тестирования проникновения) - utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g |
|
| Автор: malotavr | 106944 | 26.07.2019 08:10 |
|
Kali Linux, естественно
|
|
| Автор: Роман, Рога и копыта | 107621 | 04.12.2019 16:37 |
|
Коллеги подскажите))))))))
Селективные микровольтметры и нановольтметры чем можно заменить? Кто то писал в этой же ветке ранее, что комплекс "Гриф-АЭ-1001" решает это, верно ли?))) или какие не дорогие модели посоветуете? Оборудования для контроля АЭП (НЧ и ВЧ) и Оборудования для контроля ВЧН/ВЧО- что это??? |
|
Просмотров темы: 24159
Copyright © 2004-2019, ООО "ГРОТЕК"
