Требования ФСБ, ФСТЭК по технической поддержке СЗИ - Форум по вопросам информационной безопасности
Требования ФСБ, ФСТЭК по технической поддержке СЗИ - Форум по вопросам информационной безопасности
| Автор: Дмитрий | 109756 | 16.01.2022 11:16 |
|
Подскажите пожалуйста, существуют ли требования (ФСБ, ФСТЭК) по обязательному техническому обслуживанию/поддержке сертифицированных межсетевых экранов, криптошлюзов (например Vipnet xFirewall, ViPNet Coordinator)? Т.е. на основании чего потребитель обязан покупать техподдержку?
|
|
| Автор: oko | 109757 | 16.01.2022 13:58 |
|
Проще сказать, что будет без закупленной техподдержки:
1. Если СЗИ по ФСТЭК и у него закончился сертификат соответствия (но не срок техподдержки, публикуемой на сайте ФСТЭК и публикуемой производителем), то правомочно будет со стороны регулятора выкатить нарушение за эксплуатацию такого СЗИ... 2. Если СЗИ по ФСТЭК и в нем обнаружены уязвимости, то правомочно будет со стороны производителя отказать в бесплатном обновлении в целях исправления уязвимостей (если регулятором не будет явно сказано обратное для конкретного СЗИ - как было в своем время с SN6/SN7). Далее см. п. 1... 3. Если СЗИ/СКЗИ по ФСБ и в не обнаружены уязвимости - см. п. 2... 4. Если СЗИ/СКЗИ по ФСБ и для него закончился сертификат (срок техподдержки не влияет), то правомочно будет со стороны производителя отказать в бесплатном обновлении до новой версии с новым сертификатом. Далее см. п. 1 с поправкой на другого регулятора, ага... 5. Если СКЗИ (тот же ViPNet Coordinator) обслуживается сторонним ОКЗ (не владельцем СКЗИ), то правомочно будет со стороны такой организации отказать и в обновлении ключевой информации, и в обновлении прошивки/софта, и в прочем - см. договор по обслуживанию. Впрочем, в такой ситуации и техподдержка закупается не у производителя СКЗИ напрямую... Вроде ничего не забыл. Если что, коллеги, думаю, дополнят/подправят... Принципиальная разница в вопросах техподдержки: "по ФСТЭК" любое СЗИ может эксплуатироваться вне зависимости от срока действия сертификата соответствия, если производитель осуществляет его техподдержку; "по ФСБ" наличие/отсутствие техподдержки в данном вопросе не влияет (если я ничего не упустил в текущих вопросах сертификации по ФСБ)... Как трактовать "наличие техподдержки" в части Приказа ФСТЭК №55 за 2018 г. - до сих пор вопрос. Но, imho, раз "производитель обязан в рамках техподдержи доводить обновления до эксплуатанта", то это самое "доведение" упирается не только в наличие обновлений самих по себе, но и в действующую лицензию/сертификат/договор оконечной технической поддержки (см. п. 2, например)... |
|
Прошло около недели
| Автор: никто | 109766 | 24.01.2022 18:01 |
|
to Дмитрий.
Просто компания инфотекс немного зажралась. Политика кода безопасности больше всего нравится. |
|
Просмотров темы: 1089
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"