Проведение аттестационных испытаний - Форум по вопросам информационной безопасности
Проведение аттестационных испытаний - Форум по вопросам информационной безопасности
| Автор: Hake, aaa | 97999 | 31.07.2018 11:34 |
|
Коллеги, добрый день!
Подскажите ответ на вопросы по аттестации 1Г: - можно ли аттестовывать этот класс без проведения измерений? канал ПЭМИН неактуальный для данной АС. но как тогда выдавать заключение? |
|
| Автор: sekira | 98000 | 31.07.2018 11:51 |
|
"но как тогда выдавать заключение?"
Вы эту проблему должны были решить на этапе подписи Программы и методики с детализацией там ваших действий при аттестации. А так пишите неактуален по таким то документам, поэтому оценки не было. В чем боязнь то? |
|
| Автор: Hake | 98017 | 31.07.2018 15:04 |
|
"Вы эту проблему должны были решить на этапе подписи Программы и методики с детализацией там ваших действий при аттестации" - как раз решаем как это лучше описать в программе и методике.
"А так пишите неактуален по таким то документам" - а на какие можно сослаться? на ту же методику? есть какие нибудь РД, например? Я не помню. Если можете, подскажите. |
|
| Автор: sekira | 98027 | 31.07.2018 15:42 |
|
РД если вы взялись за аттестации КИ по СТР-К - СТР-К, РД НСД, ГОСТ по аттестации ОИ 2 шт. Все там. По техканалам ГОСТ и СТР-К. А так как напишите программу так и аттестовать будите типовая в ГОСТе.
|
|
| Автор: Hake | 98028 | 31.07.2018 15:52 |
|
"Все там"
Все прочитал и изучил, но ответ не получил. Методику написали, да. Но с заключением не понятно: надо же высчитывать r1, а как ее без измерений высчитать? помню был документ, где написана минимальная, если сигнал не получили. это бы подошло. Но не помню где. или это все-таки СТР-К, и я невнимателен? |
|
| Автор: oko | 98044 | 31.07.2018 18:05 |
|
to Hake
Епть, да нет обязательности в техканалах утечки для КТ (КИ). Как посчитает нужным владелец информации, так и будет. Если на то пошло, то и обязательности применения сертиф.СЗИ в КТ (КИ) нет... Но это все при условии, что организация коммерческая и защищает конкретно свою коммерческую ИОД (не связанную с ПДн, служебной тайной и проч.). В противном случае, уточняйтесь по Модели угроз... |
|
| Автор: sekira | 98047 | 31.07.2018 18:52 |
|
"надо же высчитывать r1" для КИ не надо даже если ПЭМИН актуален все во Временных методиках Приложение к СТР-К.
"Все прочитал и изучил, но ответ не получил" Плохо почитали! В СТР-К вначале где аналитическое обоснование и модель угроз. Про Программу и методику см ГОСТ на типовую там приложение есть касательно Программы. |
|
| Автор: Влад | 98063 | 31.07.2018 22:44 |
|
"- можно ли аттестовывать этот класс без проведения измерений? канал ПЭМИН неактуальный для данной АС."
Конечно можно без проведения измерений, главное отобразить в документе "Модель угроз" неактуальность угрозы утечки КИ по тех.каналам. |
|
| Автор: Hake | 98082 | 01.08.2018 09:29 |
|
Спасибо, что все"разжевали"!)
|
|
Просмотров темы: 2195
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"