КОНФА - Форум по вопросам информационной безопасности

Добрый вечер.
Обязательно ли при аттестации ЗП применение СЕРТИФИЦИРОВАННЫХ СВАЗ ?
И аналогичных вопрос касательно аттестации АРМ (по конфе), СЗИ по ПЭМИН и НСД, а так же антивирус должны быть сертифицированными или это рекомендация?
Аттестация не под лицензию

to Sasha
Чистая КОНФИ, которая по СТР-К и РД ГТК (ФСТЭК) от НСД для АС 3Б, 2Б, 1Д и 1Г? Тогда сертифицированные СЗИ(САЗ) не обязательны. Но перед началом активных действий советую пообщаться с местным УФСТЭК - во избежание лишних конфликтов с конкретными проверяющими в будущем, ага...
А еще лучше забыть про СТР-К и иже с ним и применять требования 17 Приказа с обоснованием отказа от сертиф.СЗИ(САЗ) через ЧМУ. Так-то оно будет правильнее и в духе времени, ага...

Обычная конфа в коммерческой организации

Мало информации. Для каких целей ЗП и АС. Какие требования? Для око ГОСТы никто не отменял. В 17 приказе сертифицированные.

to sekira
Вот перепишут КОНФИ-раздел РД НСД, а также весь СТР-К, тогда и будем принимать сертифицированные СЗИ за аксиому. Потому как, imho, в данном противоречии РД и СТР-К по-серьезнее ГОСТов будут...
А по 17 Приказу возможно уйти от сертиф.СЗИ:
- primo, поскольку ИС коммерческой организации != ГИС, т.е. требования 17 Приказа для владельца ИС остаются рекомендательными, а не обязательными;
- secundo, поскольку ЧМУ никто не отменял (и есть такая вещь как "состояние ИС до внедрения системы защиты информации", ага);
- tertio, кому они нужны (с позиции регулятора, конечно) эти КОНФИ-ИС-комм.-орг., а? :)

С 17-м приказом сложновато подступиться к защите ЗП, да и вообще к речевухе.. .

Не очень ясно что есть "обычная конфа в коммерческой организации". Ежели коммерческая тайна, то нахрена ее вообще аттестовать? Поставьте нужные СЗИ, проверьте работу, звукоизоляцию и ОК. А если хочется аттестат - доказывайте лицензиату, что можно применять несертифицированные СЗИ. Оно ему надо?

Надо разобраться, что за конфа, кто ее обладатель, установил ли он какие-то требования по ее защите и где он об этом прописал. Если нигде - все решайте сами.

Добрый день не подскажите где взять образец ТП для конфы? Тот что в стр-к подойдет?
Если память не изменяет то есть какой-то ГОСТ

Автор: oko | 105449 24.12.2018 20:51
А еще лучше забыть про СТР-К и иже с ним и применять требования 17 Приказа...

Требования к реализации ЗТС.1:
Защита информации от утечки по техническим каналам должна
осуществляться в соответствии со Специальными требованиями и
рекомендациями по технической защите конфиденциальной информации
(СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа
2002 г. No 282...

to 13
А кто спорит? Но сколько раз просил не вырывать фразы из контекста: предложение забить и перейти на 17 приказ касалось возможности грамотного обоснования отказа от применения сертиф.СЗИ посредством деактуализации соответствующих УБИ в первичной ЧМУ. А не поголовного отказа от единственных на текущий момент документов, рассматривающих вопросы ТКУИ в КОНФИ ('другой регулятор' не в счёт, ага). Comprendo? :)

to Kiria
Жёсткий исходник ТП касается только ГТ. В КОНФИ берете образец из того же СТР-К и переделываете под вашу ситуацию, оформляя как удобно, лишь бы сохранить семантику. Но и здесь есть нюансы: рассматриваете ПЭМИН в своей КОНФИ-АС? Будьте любезны отразить на схемах и в перечнях ВТСС. Рассматриваете ЭУНПИ в КОНФИ-ЗП? Отражаете мебель и предметы интерьера. И т.д., и т.п. Главное, чтобы техпаспорт был рабочим документом, а не бумагой ради бумаги...