Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 > [21-27]
Автор: БТР | 41264 | 10.01.2013 17:18 |
.... Исключения могут быть только в случае "отпуск-командировка-заболел". Но и в этом случае попадет к ней же.
А если она "отпуск-командировка-заболел" то все остановится? Про пункту д. (проектирование объектов в защищенном исполнении) рчень интересный вопрос. Это что получается, что если пункта Д нет в лицензии, то и аттестовывать с нуля нет прав? Или этот пункт для тех кто проектами деньги зарабатывает? |
Автор: Некто | 41266 | 10.01.2013 18:25 |
...если пункта Д нет в лицензии, то и аттестовывать с нуля нет прав? - вот как вам это удалось увязать в одну смысловую конструкцию?! Т.е. если виды работ разнесены в разные пункты и кабэ самостоятельны, то это кто-то для чего-то специально сделал? Или так - приколоться? И если в пункте д) есть слово "проектирование", то оно для чего там? И что оно означает? И правда ли то, что в словарях написано, а может совсем даже другое и оно переведено неправильно?
А если она "отпуск-командировка-заболел" то все остановится? - ну не всё так грустно. Но всё равно очень грустно. Составом отдела поинтересуйтесь. |
Автор: БТР | 41301 | 12.01.2013 16:42 |
«Некто» Вы задали так много вопросов, что не знаю с чего начинать.
Давайте не будем философствовать, а рассмотрим примерную, гипотетически возможную ситуацию проверки какого либо предприятия. На пример приехал ко мне проверяющий-эксперт, неукоснительно придерживающийся букве НМД. У нас в лицензии нет пункта «Д», но мы сами создали и аттестовали ОИ. Естественно въедливый проверяющий сразу заявляет – вы нарушили пункт 3.7 СТР-К, в котором расписаны рекомендуемые стадии создания СЗИ на ОИ и включают в себя: - предпроектную стадию - стадию проектирования - стадию ввода в действие СЗИ, которая включает аттестацию объекта информатизации на соответствие требованиям безопасности информации. т.е. мы должны были проектирование ОИ заказать сторонней организации имеющую лицензию с пунктом «Д», применительно к нашему объекту и потом внедрить его или первоначально полностью аттестовать объект сторонней организацией, а в последствии переаттестовывать его сами но не отклоняясь от проекта. На наше возражение, что СТР-К и стадии создания только рекомендуемые, мы получаем ответ – если у вас есть другая, взамен СТР-К методика создания ОИ, согласованная со ФСТЭК, можете делать по ней. Пока ее нет, относитесь к рекомендациям СТР-К как обязательным и неукоснительным. Это просто придуманная ситуация, но кто даст 100%, что какой то умный эксперт не будет трактовать так законодательство и НМД. |
Автор: Зашедший | 41312 | 13.01.2013 18:49 |
А может в заявлении заявляться только на реально нужные и подтверждаемые рабоы? Если про лишнее - про пижонство забыть, то и проще процесс пойдет, меньше работ - проще лицензионные требования выполнить!
|
Автор: krg | 41320 | 14.01.2013 12:41 |
Если речь идет о коммерческой организации, про СТР-К можно вообще забыть и не вспоминать.
|
Автор: Некто | 41322 | 14.01.2013 13:11 |
БТР,
Давайте не будем философствовать - это вы правильно предложили. Это просто придуманная ситуация - и тут вы совершенно правы. Практика, как известно, критерий истины. Так вот: практика ваши умственные построения не подтверждает. Даже в виде исключений из общего правила. Поскольку проектирование процесс формализованный, описанный в ГОСТах, имеющий ряд этапов и стадий, то развертывание системы защиты на защищаемой АС или в помещении, даже если вы набросали некую схемку от руки или в вами любимом MS Visio, ни разу на него не тянет. Это означает, что и спрашивать с вас контролёры этого никогда не будут. И не надо из проверяющих, и тем более экспертов, делать монстров, которые элементарных вещей не знают и по врождённой злобности придираются к несчастным лицензиатам. У них поводов придраться, как жизнь показывает, и так более чем достаточно |
Автор: БТР | 41326 | 14.01.2013 17:21 |
krg
Ваше утверждение - Если речь идет о коммерческой организации, про СТР-К можно вообще забыть и не вспоминать. .... не срвсем верно Для получения лицензии наличие СТР-К обязательно. Если Вы постоянно, планово, периодически проверяетесь ФСТЭКом и обрабатываете чужую "служебную информацию" тоже. Да и как я ранеше написал: На наше возражение, что СТР-К только рекомендуемые, мы получаем ответ – если у вас есть другая, взамен СТР-К методика создания ОИ, согласованная со ФСТЭК, можете делать по ней. Пока ее нет, относитесь к рекомендациям СТР-К как обязательным и неукоснительным. Если Вы не подконтрольны ФСТЭКу и защищаете только свою "ком. тайну", то можно забыть СТР-К и делать что и как хотите. В нашей организации любые недостатки внесенные в акт проверки, устраняются безоговорочно. Зачем ругаться с уважаемыми людьми, представителями регулятора. |
Автор: krg | 41327 | 14.01.2013 18:01 |
Согласен ругаться с уважаемыми людьми не стоит.
А по сути СТР-К 1. не проходил Минюст 2. носит рекомендательный характер (т.е. можно выполнять, можно нет) это не СТР-97. 3. Нарушения СТР-К в акте не влекут никаких мер, кроме как составления плана устранения нарушений, и потом отчет о проведенных мероприятиях. |
Автор: БТР | 41437 | 18.01.2013 17:52 |
Новые СТР и СТР-К находятся на согласовании.
Рано или поздно их согласуют. Я не думаю, что их сделают кординально отличных от тех которые сейчас действуют - зачем создавать документ котрый повлечет изменение всех ранее принятых, но они будут уже прошедшими минюст и обязательными для всех. По этому считаю, что СТР-К надо учитывать и систему СЗИ разрабатывать полностью по ней или максимально к ней приближенно, чтобы потом не переделывать. |
Автор: krg | 41438 | 18.01.2013 18:04 |
скажу так, что новые документы минюст не будет проходить 100%, и в ближайшее время не появятся. в ЦА говорят, что минюст только новое ГСЗИ будет проходить, а когда это всё появиться не известно, говорят, что очень не скоро, и всё зависло на одном из этапов согласования.
|
Просмотров темы: 83353