Актуальные угрозы 1 и 2 типов, то почему УЗ-3? - Форум по вопросам информационной безопасности

Коллеги. у меня возник вопрос:

Аттестуем ГИС, в которой есть ПерсДанные.
В постановлении N 1119 написано, что для АУ1 характерны угрозы связанные с НДВ системного ПО. Правильно ли я понимаю, что необходимо покупать СЕРТИФИЦИРОВАННУЮ операционку?

Если да, то как так получается, что всегда в подобных случаях ГИС аттестую по К3, хотя ИСПДН имеет УЗ1 из за наличия несертфицированной операционки.

Или я что то путаю?

Если в вашей гис, есть пдн, вы определяете уз по 1119,но в приказе фстэк 17 написано, что если уз выше, чем класс гис, происходит повышение класса до уровня уз. Ещё проще, уз не может быть выше класса гис. А вот гис может быть выше классом К3, например для УЗ4.

2 Anonimus
"но в приказе фстэк 17 написано, что если уз выше, чем класс гис, происходит повышение класса до уровня уз" где такое написано?

to Константин
Подразумевается, скорее. Дескать, К2 покрывает УЗ-2/3/4. Поэтому логично "подтянуть" результирующий класс ГИС, чем вводить двойную классификацию и ссылаться на выполнение требований одного и второго приказов...

to Начинающий специалист
Угрозы НДВ 1 типа - это, по-хорошему, и "закладки" в микрокоде периферийных устройств, и "лишний код" в BIOS (UEFI), и "ошибки" драйверов, и проч. в том же духе. Так что одной только сертиф.ОС не отделаешься...
С другой стороны, никто до сих пор явно не указал, что же такое НДВ 1-го типа и НДВ 2-го типа из ПП РФ 1119. Поэтому решается по ситуации (с более или менее совонатягивательными аргументами, ага)...
Что до озвученного примера, то наверняка при классификации "решили", что НДВ 1 и 2 типов для ИС не актуальны, поэтому ее итоговый уровень защищенности как ИСПДн - 3 или 4. Следовательно, результирующий класс защищенности ИС как ГИС - К3. Но это так, на правах модуля экстрасенсорики...