Контакты
Подписка
МЕНЮ
Контакты
Подписка

Проведение аттестационных испытаний - Форум по вопросам информационной безопасности

Проведение аттестационных испытаний - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Hake, aaa | 97999 31.07.2018 11:34
Коллеги, добрый день!
Подскажите ответ на вопросы по аттестации 1Г:
- можно ли аттестовывать этот класс без проведения измерений? канал ПЭМИН неактуальный для данной АС.
но как тогда выдавать заключение?

Автор: sekira | 98000 31.07.2018 11:51
"но как тогда выдавать заключение?"
Вы эту проблему должны были решить на этапе подписи Программы и методики с детализацией там ваших действий при аттестации.
А так пишите неактуален по таким то документам, поэтому оценки не было. В чем боязнь то?

Автор: Hake | 98017 31.07.2018 15:04
"Вы эту проблему должны были решить на этапе подписи Программы и методики с детализацией там ваших действий при аттестации" - как раз решаем как это лучше описать в программе и методике.

"А так пишите неактуален по таким то документам" - а на какие можно сослаться? на ту же методику? есть какие нибудь РД, например? Я не помню. Если можете, подскажите.

Автор: sekira | 98027 31.07.2018 15:42
РД если вы взялись за аттестации КИ по СТР-К - СТР-К, РД НСД, ГОСТ по аттестации ОИ 2 шт. Все там. По техканалам ГОСТ и СТР-К. А так как напишите программу так и аттестовать будите типовая в ГОСТе.

Автор: Hake | 98028 31.07.2018 15:52
"Все там"
Все прочитал и изучил, но ответ не получил.
Методику написали, да.
Но с заключением не понятно: надо же высчитывать r1, а как ее без измерений высчитать? помню был документ, где написана минимальная, если сигнал не получили. это бы подошло.
Но не помню где. или это все-таки СТР-К, и я невнимателен?

Автор: oko | 98044 31.07.2018 18:05
to Hake
Епть, да нет обязательности в техканалах утечки для КТ (КИ). Как посчитает нужным владелец информации, так и будет. Если на то пошло, то и обязательности применения сертиф.СЗИ в КТ (КИ) нет...
Но это все при условии, что организация коммерческая и защищает конкретно свою коммерческую ИОД (не связанную с ПДн, служебной тайной и проч.). В противном случае, уточняйтесь по Модели угроз...

Автор: sekira | 98047 31.07.2018 18:52
"надо же высчитывать r1" для КИ не надо даже если ПЭМИН актуален все во Временных методиках Приложение к СТР-К.

"Все прочитал и изучил, но ответ не получил"
Плохо почитали! В СТР-К вначале где аналитическое обоснование и модель угроз. Про Программу и методику см ГОСТ на типовую там приложение есть касательно Программы.

Автор: Влад | 98063 31.07.2018 22:44
"- можно ли аттестовывать этот класс без проведения измерений? канал ПЭМИН неактуальный для данной АС."

Конечно можно без проведения измерений, главное отобразить в документе "Модель угроз" неактуальность угрозы утечки КИ по тех.каналам.

Автор: Hake | 98082 01.08.2018 09:29
Спасибо, что все"разжевали"!)

Просмотров темы: 1730

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*