Контакты
Подписка
МЕНЮ
Контакты
Подписка

Требования ФСБ, ФСТЭК по технической поддержке СЗИ - Форум по вопросам информационной безопасности

Требования ФСБ, ФСТЭК по технической поддержке СЗИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Дмитрий | 109756 16.01.2022 11:16
Подскажите пожалуйста, существуют ли требования (ФСБ, ФСТЭК) по обязательному техническому обслуживанию/поддержке сертифицированных межсетевых экранов, криптошлюзов (например Vipnet xFirewall, ViPNet Coordinator)? Т.е. на основании чего потребитель обязан покупать техподдержку?

Автор: oko | 109757 16.01.2022 13:58
Проще сказать, что будет без закупленной техподдержки:
1. Если СЗИ по ФСТЭК и у него закончился сертификат соответствия (но не срок техподдержки, публикуемой на сайте ФСТЭК и публикуемой производителем), то правомочно будет со стороны регулятора выкатить нарушение за эксплуатацию такого СЗИ...
2. Если СЗИ по ФСТЭК и в нем обнаружены уязвимости, то правомочно будет со стороны производителя отказать в бесплатном обновлении в целях исправления уязвимостей (если регулятором не будет явно сказано обратное для конкретного СЗИ - как было в своем время с SN6/SN7). Далее см. п. 1...
3. Если СЗИ/СКЗИ по ФСБ и в не обнаружены уязвимости - см. п. 2...
4. Если СЗИ/СКЗИ по ФСБ и для него закончился сертификат (срок техподдержки не влияет), то правомочно будет со стороны производителя отказать в бесплатном обновлении до новой версии с новым сертификатом. Далее см. п. 1 с поправкой на другого регулятора, ага...
5. Если СКЗИ (тот же ViPNet Coordinator) обслуживается сторонним ОКЗ (не владельцем СКЗИ), то правомочно будет со стороны такой организации отказать и в обновлении ключевой информации, и в обновлении прошивки/софта, и в прочем - см. договор по обслуживанию. Впрочем, в такой ситуации и техподдержка закупается не у производителя СКЗИ напрямую...
Вроде ничего не забыл. Если что, коллеги, думаю, дополнят/подправят...
Принципиальная разница в вопросах техподдержки: "по ФСТЭК" любое СЗИ может эксплуатироваться вне зависимости от срока действия сертификата соответствия, если производитель осуществляет его техподдержку; "по ФСБ" наличие/отсутствие техподдержки в данном вопросе не влияет (если я ничего не упустил в текущих вопросах сертификации по ФСБ)...
Как трактовать "наличие техподдержки" в части Приказа ФСТЭК №55 за 2018 г. - до сих пор вопрос. Но, imho, раз "производитель обязан в рамках техподдержи доводить обновления до эксплуатанта", то это самое "доведение" упирается не только в наличие обновлений самих по себе, но и в действующую лицензию/сертификат/договор оконечной технической поддержки (см. п. 2, например)...
Прошло около недели

Автор: никто | 109766 24.01.2022 18:01
to Дмитрий.

Просто компания инфотекс немного зажралась. Политика кода безопасности больше всего нравится.

Просмотров темы: 1001

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*