Добрый день коллеги,
интересует актуальная практика применения указанной статьи 23 при аттестации объектов информатизации.
Насколько контролирующий орган придирается к компенсирующим мерам, разрабатываемым на основании этой статьи, в части замены/невозможности применения СЗИ прошедших оценку на соответствие требованиям по БИ (привет статья 11 данного документа)?
Одобряют такую практику? Заворачивают документацию? Выписывают предписания при обследовании объекта?
to Олег
Primo, УБИ (например, приведенные в БДУ) пока ни единым НМД не соотнесены с мерами защиты (например, приведенными в таблице 17 Приказа). Так что выбор "адекватных" мер нейтрализации актуальных УБИ (согласно п. 23 Приказа 17) является лишь самодеятельностью, не более...
Secundo, но "достаточность" при обосновании компенсирующих мер, позволяющих отказаться от сертиф.СЗИ и реализации базовых и адаптированных мер защиты, ФСТЭК допускает. Весь вопрос в качестве этой "достаточности"...
Last, в общем случае все зависит от критичности ОИ, его масштаба и ценности информации. А также от того, какие конкретные представители регулятора будут проводить анализ достаточности выбранных компенсирующих мер...
