Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертификат ФСБ или ФСТЭК для ПАК Соболь - Форум по вопросам информационной безопасности

Сертификат ФСБ или ФСТЭК для ПАК Соболь - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: bezopasnik | 108783 06.10.2020 21:23
Всем привет.
Столкнулся с дилемой.
1) В ИСПДН УЗ-2. Согласно УПД17 приказа ФСТЭК 21 необходимо "Обеспечение доверенной загрузки средств вычислительной техники", поэтому нужен ПАК Соболь с сертификатом ФСТЭК. Но в ИСПДН также используется СКЗИ класса КС2 и согласно формуляру к СКЗИ необходим АМДЗ, т.е. ПАК Соболь, но уже с сертификатом ФСБ. Как быть? Не ставить же 2 разных Соболя)
2) Аналогично с антивирусом. В формуляре на СКЗИ указано, что СКЗИ допускается только со средствами антивирусной защиты, сертифицированными ФСБ России. А у нас стоит антивирус, имеющий только сертификат ФСТЭК. Как быть?

Автор: Денис | 108784 07.10.2020 04:54
Запросить у производителя 2 сертификата?

Продукт должен быть одного исполнения, думаю.

Автор: bezopasnik | 108785 07.10.2020 16:54
На определенную версию только 1 сертификат. К примеру, на версию Kaspersky Endpoint Security 11.1.1.126 есть только сертификат ФСТЭК, у ФСБ другая версия для KES. Аналогично с ПАК Соболь.

Автор: nekto | 108786 08.10.2020 11:52
Когда-то, в документах по сертификации ФСТЭК / ФСБ натыкался на фразу, о признании сертификатов другого ведомства, вот только не помню, в каком именно документе это было....

Может кто подскажет, где я мог это видеть, тогда и дилемма разрешится...

Автор: Денис | 108787 08.10.2020 12:48
В таком случае, мне кажется, нужно просто позвонить в тот же Касперский и спросить у них.

Автор: oko | 108788 08.10.2020 15:43
to bezopasnik
Модуль жизненного опыта подсказывает четыре альтернативных варианта:
1. Юзать ФСТЭК-СЗИ. И забить на Правила пользования СКЗИ в части именно ФСБшных СЗИ. Если представитель ФСБ будет докапываться - писать запрос с разъяснениями в 8 Центр и в ЦА ФСТЭК. Нехай ведомства сами определятся в такой ситуации. Не ответить не могут, но могут затянуть. И, вероятнее всего, ответ будет в стиле "юзайте все, что хотите - это всего лишь ИСПДн"...
2. Юзать ФСБ-СЗИ. И забить на ФСТЭК-версии. Но предварительно согласовать ЧМУ и Техпроект с ФСБ (к сожалению, опять-таки только с 8 Центром, не ниже). Если представитель ФСТЭК будет докапываться - показать согласованные документы. Как правило, вопросы сразу снимаются (ибо "это всего лишь ИСПДн", ага)...
3. Юзать ФСБ-СЗИ и писать, что "используются СЗИ, прошедшие процедуру оценки соответствия". Не "сертифицированные СЗИ", а именно "прошедшие..." Это будет правдой, это не будет нарушать требований 21 Приказа...
4. Юзать ФСТЭК-СЗИ и заранее согласовать такой подход в Техпроекте и ЧМУ с 8 Центром. Будет со скрипом. Но, в конце концов, "это всего лишь ИСПДн"...
Все варианты в равной мере были испробованы на практике (в период последних 5 лет). Наиболее быстрым и удобным считаю 3 вариант. Наиболее правильным для случая, когда СКЗИ в ИСПДн используются "постольку поскольку" - 1. Разумеется, всегда имеется вероятность, что любой из вариантов будет отклонен по неизвестной заранее причине - пути регуляторов неисповедимы, ага...

Автор: oko | 108789 08.10.2020 15:47
to nekto
Мой склероз тоже нечто подобное подсказывает - было, но хз когда и где...
С другой стороны, неудовольствие экспертов 8 Центра при попадании к ним документа с ФСТЭК-СЗИ, как бы намекает...

Просмотров темы: 160

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*