Коллеги, как считаете легитимно ли применение для контроля защищенности ИСПДн инструментальных программных средств (программ фиксации контрольных сумм ПО, инвентаризации ресурсов, сетевых сканеров и т.д.) с открытым кодом. ИСПДн принадлежит ГУП, оценка эффективности принятых мер по защите ПДн проводится собственными силами по ПиМ, аналогичной ГОСТ 0043-004-2013.
Как мне кажется - критично не открытый/закрытый исходный код, а сертифицирован или нет применяемый продукт и что за контроль защищенности проводите - в рамках обязательной аттестации или нет. А так - лет дцать назад вполне себе был сертифицирован Nessus с открытым исходным кодом (заявителем был Джет)
to ale
Ни один документ не определяет полный формат и ограничения самостоятельного контроля для организаций-владельцев/операторов ИСПДн (исключение, пожалуй, если эта организация еще и лицензиат ФСТЭК/ФСБ - и то, исключение домысловое)...
imho, юзайте то, что реально позволяет выявить новые угрозы/каналы утечки/недостатки системы защиты. Регулятор при желании может докопаться хоть до "пожарного щита". Зато душа спокойна будет за фактическое положение дел в вашей системе...
