Автор: SecSec | 74477 | 28.07.2017 11:41 |
Я не пойму, пункт 20 нового перечня, средство контроля подключения устройств. Оно нужно чтобы мы приходили на аттестуемый объект и собирали инфу на их объекте? То есть сканер-ВС все таки подходит?
|
Автор: Z | 80274 | 24.10.2017 14:13 |
По поводу осциллографа.
Перечень контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 Утвержден директором ФСТЭК России 29 августа 2017 г. 17. Осциллограф высокочастотный. Диапазон измеряемых параметров: 0…5 ГГц. Количество входов не менее 2 Откуда такой диапазон? |
Автор: Горшок | 81486 | 31.10.2017 11:39 |
Этот осциллограф нужен для получения лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации, а не по ТЗКИ
|
Автор: Z | 81490 | 31.10.2017 13:10 |
to Горшок
"Этот осциллограф нужен для получения лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации..." Так в методиках касающихся конфиденциальной информации упоминается максимальный диапазон отличающийся от 5 ГГц... отсюда и вопрос. |
Автор: sekira | 81510 | 01.11.2017 08:26 |
Перепутали с частотой дискретизации :))
|
Автор: Frp | 82970 | 29.11.2017 17:48 |
Доброго времени суток, возник вопрос при подаче на лицензию по пункту Б (услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации). По перечню КИО от 19 апреля 17 года не совсем понятно чем закрыть пункты:
20.Средства контроля подключения устройств (решили прикрыть Далас Локом, но насколько это легитимно?) 22.Средства (системы) контроля (анализа) защищенности информационных систем (не прикрыли ничем т.к. в функциональных характеристиках есть пояснение вида "выявление уязвимостей (кода, конфигурации и архитектуры) в них, анализ и управление выявленными уязвимостями с учетом угроз.Должны иметь сертификаты соответствия ФСТЭК России" платить 300 тыс за сертифицированные средства "выявление уязвимостей кода" желания у нас нет, ФСТЭК говорит что раз буква Б присутствует значит средства должны соответствовать всем требованиям, и без разницы что там еще пункты В,Г,Д) Посоветуйте пожалуйста решение данной проблемы. |
Автор: oko | 82972 | 29.11.2017 19:30 |
to Frp
Недавно переоформляли, поделюсь опытом. Не знаю, как получится у вас - в ЦА ФСТЭК часто решения меняются в зависимости от... КСМНИ закрывали в составе любого сертифицированного по данному профилю СЗИ НСД (сейчас это Dallas Lock 8.0 C и К, Secret Net Studio - другие мне не известны). Впрочем, от себя вообще вписали Secret Net 7 - тоже прокатило (ибо сертификат был до вступления в силу профилей КСМИН, но продленный и действующий)... Средства АНЗ описали применением классических сетевых сканеров безопасности (Сканер-ВС, Ревизор Сети, XSpider). Цена у них разная и варьируется от 10к, кажись. Никакого анализа кода не вписывали. Это вообще в прямом смысле пункт для сертификационных лабораторий, а не лицензиатов ТЗКИ... ЗЫ И да, все очень тупо. Потому что средств КСМНИ портативных (которые можно на объекте использовать для выявления, например, подключенных к АС сторонних устройств) в природе не существует (сертифицированных). Они пока идут в составе СЗИ НСД. Так что кому в голову пришло это писать в КИА - в своей АС (ИС) для обработки КОНФИ еще понимаю, но уж явно не контрольно-измерительная аппаратура - не ясно... Есть у меня одна разработка легковесная и говнокодерская. Как раз выявляет все подключенные к Win USB-устройства. И по win-номерам, и по зав. номерам. Сертифицировать, что ли? :) |
Автор: malotavr | 82973 | 30.11.2017 00:20 |
> выявление уязвимостей кода
Вы путаете "поиск уязвимостей кода" (класс уязвимостей в соответствии с ГОСТ по классификации уязвимостей) и поиск "поиск уязвимостей в исходном коде". Уязвимости кода - это уязвимости, устраняемые установкой обновлений. MaxPatrol, конечно, "наше все", но для получения лицензии достаточно любого из перечисленных oko сканеров уязвимостей. Но на всякий случай все-таки имейте в виду, что потом, при использовании сканеров в лицензируемой деятельности, надзорный орган может задать вам резонный вопрос "а как это вы сканером X искали уязвимости в Huawei, если по документации он этого делать не умеет". Были прецеденты :) |
Автор: oko | 82974 | 30.11.2017 01:08 |
*в сторону, но навеяно тов. malotavr*
NMAP (тьфу ты, "Ревизор Сети", конечно) -> какой-нибудь открытый сервис на шлюзе сети (web-морда, ssh, etc) -> osscan или общее знание топологии и применяемых средств (мы ж для Заказчика стараемся, а не blackbox изучаем) -> попался, Huawei -> версия VRP -> запрос в Гугл (или "экспертная оценка", чтобы нагнать туману и серьезности) -> примерная версия прошивки -> запрос в CVE (повторно, тьфу ты, в БДУ, конечно) -> перечень актуальных уязвимостей -> поиск по Metasploit (или опять "экспертная оценка") -> применение эксплойта -> оформление Протокола = profit! :) |
Автор: malotavr | 82975 | 30.11.2017 04:16 |
Браво! :) Некоторые крупные консалтинговые компании именно так и проводят "ASV-сканирование толпой индусов" :)
Но я бы еще добавил -> "NIST Checklist Repository" -> проверка настроек -> дополнение протокола уязвимостями конфигурации |
Просмотров темы: 24213