Контакты
Подписка
МЕНЮ
Контакты
Подписка

Устранение уязвимости в СЗИ - Форум по вопросам информационной безопасности

Устранение уязвимости в СЗИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Pavel | 109077 09.03.2021 20:14
Коллеги, нужна Ваша помощь.

Согласно 76 Приказу ФСТЭК ("Уровни доверия"). В случае выявления недостатка в СЗИ разработчик должен выполнить:

1) разработку компенсирующих мер по защите информации или ограничений по применению средства, а также доведение информации о недостатках и указанных мерах и ограничениях до потребителей не позднее 72 часов с момента выявления недостатка;
2) доработку средства, в том числе разработку обновлений программного обеспечения средства, или разработка мер по защите информации, нейтрализующих недостаток, в срок не более 60 дней с момента выявления недостатка.

Допустим в ПО СЗИ был выявлен недостаток и в качестве компенсирующих мер по защите информации были разработаны организационные меры, которые нейтрализуют возникшие угрозы.

Во втором пункте говориться про разработку мер по защите информации, которыми по факту можно считать разработанные, в соответствии с первым пунктом, компенсирующие меры.

Соответственно, если компенсирующие меры устраняют возникшие угрозы и во втором пункте говорится про некие абстрактные меры по защите информации, то возникает вопрос...
Какие дополнительные работы должен проделать Разработчик СЗИ в соответствии со вторым пунктом (при условии, что компенсирующие меры нейтрализуют угрозу)? Может тогда просто достаточно компенсирующих мер и больше ничего не надо делать?

Автор: VM | 109079 10.03.2021 09:14
В моём понимании "меры, устраняющие недостаток" и "компенсирующие меры" не обязательно должны быть одними и теми же. Они могут быть и совпадающими, если это явно не запрещено. Но по логике они могут быть и разными. Если рассматривать защиту как способ понижения риска до приемлемой величины, для каких-то ситуаций есть пространство для маневра. Грубый пример - можно поставить firebox на отдел и им сегментировать, можно сертифицировать циску, стоящую на периметре. Формально и то и другое МЭ, может быть даже одного и того же класса. При отсутствии требований к эшелонированной защите, эффект достигается одинаковый в вероятностях реализации угроз. Компенсирующие меры выбираются из "пространства для маневра". Другой пример. Случился пожар. имущество эвакуировали, сейф его больше не защищает (недостаток функционирования СЗИ), приставили охрану на пункт эвакуации (компенсирующая мера), но пока ОПС не отремонтитруют, здание не восстановят и имущество не вернут в сейф, эта компенсирующая мера не считается мерой устранения недостатка функционирования СЗИ.

Просмотров темы: 283

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*