Аналог ГОСТ Р 58189-2018 - Форум по вопросам информационной безопасности

Всем привет.

С 1 января 2019 года вводится в действие "ГОСТ Р 58189-2018 ЗИ. Требования к органам по аттестации ОИ". Как я понял, он распространяется только на органы по аттестации ОИ, предназначенных для обработки ГТ.
Изменилось ли что-то для лицензиатов по ТЗКИ (конфиденциалка)?
Уточнял ли кто-то в отделе лицензирования ФСТЭК о необходимости измерительного оборудования именно в собственности или по-прежнему возможна аренда?

Алексей, написано, что требования к органам или к аккредитующимся на органы. Икасается ГТ.
Для ТЗКИ не нужно быть органом. По идее, там аттестационная комиссия.

Я вот сегодня этот ГОСТ изучал как раз и понял, что некоторые послабления ввели все-таки (причем требования к квалификации ввели на уровне нац стандарта) - если нет в дипломе ИБ (читай с большим стажем, когда не было ИБ) или переподготовки, то канает с учетом хорошего стажа и диплома по тех наукам. Вопрос как это коррелируется с временными методическими рекомендациям по оценке уровня подготовки спецов.

Для SKYCEBERG,
Спасибо Вам за ответ. Судя по информационному сообщению с сайта ФСТЭК "Временные методические рекомендации по оценке уровня подготовки специалистов..." распространяются только по органам по аттестации и дсп.
На днях общался с отделом лицензирования ФСТЭК.
По поводу подтверждения стажа (правда по ТЗКИ и СЗКИ) они озвучили, что подсчет стажа по ИБ производится по трудовой книжке (если должность названа соответственно), если названа криво (например, старший помощник младшего "дворника"), то нужна заверенная копия должностных инструкций, подойдет даже с предыдущего места работы. По отставникам силовых ведомств устроит выписка из личного дела.

И вопрос не совсем по теме. Есть ли знакомые, кого уже проверяли органы ФСТЭК по Центральному Федеральному округу в рамках подтверждения лицензии? Хотелось бы узнать, что и как происходило?

Всем добрый день!

Имеется ли у кого опыт сертификации средств защиты конфиденциальной информации по требованиям приказа ФСТЭК от 3 апреля 2018 г. N 55 "Об утверждении Положения о системе сертификации средств защиты информации"?
Поделитесь, пожалуйста, опытом!

В дополнение вопрос по Перечню контрольно-измерительного и испытательного оборудования... к ПП РФ от 03.03.2012 № 171 от июня 2018 года - какие программные средства выбирали по пунктам:
30. Средство (средства) анализа программного кода. Например, если у меня разработка в Microsoft Visual Studio, то как мне подтвердить соответствие этому пункту?
31. Средства разработки программ. По тексту характеристик идет "поиск фрагментов данных, сравнение фрагментов данных". О каких фрагментах данных идет речь? Команда, оператор, биты/байты, файлы...?
35. Программатор. Если запись ПО идет на компакт-диски с помощью привода компьютера, то что понимать в качестве ПРОГРАММАТОРА?
36. Система управления изменениями ПО. Могу ли использовать ту же Microsoft Visual Studio? Или Delphi (просто для примера). Вопрос в том, как нужно будет подтверждать соответствие: показывать в работе или копии рабочего стола или...?
37. Средство для автоматизации процессов тестирования средств защиты информации (средства тестирования проникновения). Можно ли использовать какую-то функцию Microsoft Visual Studio? или Delphi ? или нужно стороннее ПО, например Сканер-ВС - Инспектор или McAfee Advanced Threat Defence ?

Имеется

30. Microsoft VS - это среда разработки, а не средство анализа кода. Речь идет о средствах, способных проводить статический и динамический анализ кода на наличие уязхвимостей.
31. Не заморачивайтесь, сюда годится любая среда разработки, поддерживающая версионность исходников.
35. Средство для заливки микрокода на программируемые контроллеры. Можно обойтись без него, но, судя по вашим вопросам, вам проще будет купить какой-нибудь программатор, получить лицензию и забыть о его существовании.
36. Имеется в виду именно средство совместной работы, поддерживающее версионность исходников. Для MSVS это, например, Team Foundation.
37. Нет, там же русским по белому написано, что речь идет о платформе для автоматизированного тестирования. Т.е. если вам присылают сообщение об уязвимости в вашем софте, вы должны иметь возможность оперативно сделать на основе этого сообщения юнит-тест и убедиться, что уязвимость действительно есть (это и есть тестирование на проникновение применительно к софту).

Посмотрите внимательно ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", от вас по-любому потребуют его выполнять. Многие вопросы "что это такое и зачем нужно" отпадут.

Для "malotavr"
Можно ли будет с Вами списаться или созвониться в случае появления вопросов, а то регулятор шлет... на курсы подготовки? )))

Не обижайтесь: я туда же пошлю :)

Есть компании, которые за вменяемые деньги подготовят вам и документацию, и пакет необходимых инструментальных средств и даже обучение сотрудников организуют в необходимом объеме. Консультировать - это лишком много нюансов.

to malotavr
+1

to Алексей
Упреждая: проблема тут не в корысти участников форума. И даже не в их боязни "ответить за слова". Но, как показывает практика, почти любые вопросы на форуме по инфобезу в нашей стране предполагают детальное изучение инфраструктуры и особенностей проекта того, кто вопросы задает. Если это, конечно, не формат FAQ, ага...
В таком ракурсе, никто не станет тратить личное время на ознакомление с такой инфраструктурой бесплатно. Да и за деньги - в частном порядке - тоже мало кто согласится. Слишком много неизвестных заранее моментов, неопределенная зона ответственности. Да и мимо своей конторы многие участники форума тоже работать не станут, не так ли? :)
В вашей ситуации лучше всего реально на курсы сходить. Особенно, если у вас задача не для галочки, а на будущее развитие. Либо пригласить организацию, оказывающую услуги в получении лицензии ТЗКИ или сертификации - они в договорном порядке ознакомятся со всеми нюансами и разложат все по полочкам (во всяком случае, должны будут, ага)...

malotavr и oko

Спасибо большое за ответы. Постараюсь договориться с руководством о курсах.

Форум больше для обмена опытом, т.е. обмена мнениями и решениями тех, у кого этот опыт уже есть.
Есесна, никто не будет здесь с нуля объяснять все нюансы. Здесь задают вполне конкретные вопросы и все пытаются на них ответить.