Контакты
Подписка
МЕНЮ
Контакты
Подписка

Применение статьи 23 из Приказа ФСТЭК №17 от 11.02.2013 - Форум по вопросам информационной безопасности

Применение статьи 23 из Приказа ФСТЭК №17 от 11.02.2013 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Олег | 108213 12.06.2020 16:18
Добрый день коллеги,
интересует актуальная практика применения указанной статьи 23 при аттестации объектов информатизации.
Насколько контролирующий орган придирается к компенсирующим мерам, разрабатываемым на основании этой статьи, в части замены/невозможности применения СЗИ прошедших оценку на соответствие требованиям по БИ (привет статья 11 данного документа)?
Одобряют такую практику? Заворачивают документацию? Выписывают предписания при обследовании объекта?

С уважением и заранее спасибо.

Автор: oko | 108214 14.06.2020 21:50
to Олег
Primo, УБИ (например, приведенные в БДУ) пока ни единым НМД не соотнесены с мерами защиты (например, приведенными в таблице 17 Приказа). Так что выбор "адекватных" мер нейтрализации актуальных УБИ (согласно п. 23 Приказа 17) является лишь самодеятельностью, не более...
Secundo, но "достаточность" при обосновании компенсирующих мер, позволяющих отказаться от сертиф.СЗИ и реализации базовых и адаптированных мер защиты, ФСТЭК допускает. Весь вопрос в качестве этой "достаточности"...
Last, в общем случае все зависит от критичности ОИ, его масштаба и ценности информации. А также от того, какие конкретные представители регулятора будут проводить анализ достаточности выбранных компенсирующих мер...

Просмотров темы: 198

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*