Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 12 ... 30 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Пользоваться надо:
1. ПКЗ-2005 (Приказ № 66 ФСБ России)
2. Приказ ФАПСИ № 152
3. Приказ ФСБ № 378

При использовании средств ЭП руководствоваться надо:
1. Приказ ФСБ № 795
2. Приказ ФСБ № 796
ICQ 377238542
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Без сомнений ))))))) следующего звания еще год ждать будет )))))
ICQ 377238542
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Все мы - человеки! Не будьте так строги ))))))
ICQ 377238542
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
В таком ключе, я думаю, этот вопрос с регуляторами обсуждать )))))) при проверке. У тебя свой бред, у них свой будет )))) Думаю вы найдете друг друга ))))
ICQ 377238542
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Ну, тоже позиция. Когда нет своей и такая сойдет )))
ICQ 377238542
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Иван пишет:
в продолжении к предыдущему сообщению

4. человек работает с письмами от сторонних организаций, в них содержиться ФИО человека - обрабатывает ли этот сотрудник ПД?
Конечно обрабатывает.
ICQ 377238542
Согласование МУ с ФСТЭК
А зачем это надо!? Со ФСТЭК и ФСБ согласовываются только отраслевые МУ, остальные за ...)))) по очень большой необходимости.
ICQ 377238542
[ Закрыто] Определение уровня защищенности
Все верно. Например, если вы используете базу данных, то в 99% случаев, вы будете сертифицировать ее, как СЗИ, потому что вам надо будет реализовывать УПД, а за одно и на НДВ сертифицируете )))), уже как СЗИ.
ICQ 377238542
[ Закрыто] Определение уровня защищенности
Как обосновывается тип угроз я уже писал. На счет НДВ не в СЗИ, то кто вам мешает написать методику и провести проверку. Если надо обосновать отсутствие, то само отсутствие вы никак не обоснуете, по причинам изложенным выше. А вот обосновать доверие к ПО не прошедшему проверку на НДВ можете попробовать, типа - считаю, что угрозы с наличием НДВ в систем и прикладном ПО неактуальны потому что ... ииии понеслась.
ICQ 377238542
[ Закрыто] Определение уровня защищенности
Сама классификация http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-tekhnicheskaya-zashchita-informatsii/dokumenty/spetsialnye-normativnye-dokumenty/382-rukovodyashchij-dokument-prikaz-predsedatelya-gostekhkomissii-rossii-ot-4-iyunya-1999-g-n-114

Ну, а непосредственно я ничего не проверяю, так как не работаю в сертификационной лаборатории. Есть методики, закрытые, местами открытые, думаю, на форуме есть люди, которые смогут подробнее описать непосредственно процесс анализа. Компания Эшелон разрабатывает такие анализаторы.
ICQ 377238542
[ Закрыто] Определение уровня защищенности
)))))) с уверенностью все в порядке. Так как проверка на НДВ напрямую зависит от методик анализа, а сами методики несовершенны, как и все созданное человеком, то получается, что уровень контроля - это уровень доверия, при котором проверяющий говорит - я прогнал ПО по анализаторам, анализатор ничего не нашел, значит считаем, что в ПО ничего нет. Ну, а так как методики несовершенны, то мы возвращаемся уровень контроля - уровень доверия. Это не тот термин "уровень доверия", который изложен в других стандартах (западных).
Больше практики молодой человек и будет понимание. Я видел оборудование, которое проходило все мыслимые и немыслимые проверки со стороны ФСБ и МО, было обклеено их наклейками донельзя, однако и там со временем находились закладки. Так что - НДВ это 50/50, оно либо есть, либо его нет. Кот Шредингера в общем ))))))).
ICQ 377238542
[ Закрыто] Определение уровня защищенности
http://fstec.ru
ICQ 377238542
[ Закрыто] Определение уровня защищенности
Цитата
Сергей С. пишет:
Угрозы НДВ закрываются с помощью защиты от НСД , чтобы их реализовать, нужно прежде всего получить доступ к телу. + лицензионное СПО, следовательно своевременная установка патчей. + модель нарушителя - исключить внутренних . Получим низкую вероятность реализации угрозы НДВ и 4УЗ.
Угрозы НДВ не закрываются ничем. Оборудование или ПО может проходит сертификацию на отсутствие по определенному классу, но и то это не больше, чем уровень доверия.
Обоснование НДВ - ущерб. Если незначительный, то тип угроз 3, средний - тип 2, высокий тип 1. Пишется это обычно в Акте классификации. НДВ, на то и НДВ, что ничем кроме субъективного восприятия не обосновывается. По опыту, даже в самом проверенном и перепроверенном ПО и оборудовании с вероятностью 50% обнаруживаются закладки.
ICQ 377238542
К1, Типовые решения для ИСПДн Класса 1
Вам, девушка, в раздел "Тупые вопросы..."
ICQ 377238542
Можно ли исключать меры защиты при неактуальности угроз????, 21/17 ПДн
Ключевое слово - "согласована с заказчиком" )))))))
ICQ 377238542
Можно ли исключать меры защиты при неактуальности угроз????, 21/17 ПДн
Цитата
Симак пишет:
Просмотр информации на дисплее сотрудниками, не допущенными к обработке ПДн
Кража ПЭВМ
Утрата ключей доступа
Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке
Угроза выявления паролей
То есть ты просто взял угрозу из "Базовой модели..." и решил актуальна она для тебя или нет?
ICQ 377238542
Можно ли исключать меры защиты при неактуальности угроз????, 21/17 ПДн
А список своих угроз не напишешь?
ICQ 377238542
Можно ли исключать меры защиты при неактуальности угроз????, 21/17 ПДн
Цитата
Симак пишет:
всего навсего 5 актуальных угроз которые я закрываю 10-15 мерами
Силен )))))
ICQ 377238542
Можно ли исключать меры защиты при неактуальности угроз????, 21/17 ПДн
Думаю, что это личное мнение Носова И.А. Если у вас не используются системы виртуализации, а меры прописаны, как базовые, то как вы их примените, на что!? Заявлять, что должен быть выполнен полный базовый набор - ОЧЕВИДНАЯ ГЛУПОСТЬ.

Структурно-функциональные особенности ИСПДн - Набор актуальных угроз - Меры защиты.

На днях закончил Модель угроз для одной организации. При УЗ 3, низкой опасности и всего остального по минимуму у меня вышло ровно 100 мер. Так что какие 10-15 мер!? Откуда все это!?
ICQ 377238542
Можно ли исключать меры защиты при неактуальности угроз????, 21/17 ПДн
Считаю, что обсуждать нечего. Применяемые меры защиты, напрямую зависят от актуальных угроз. Угрозы от структурно-функциональных особенностей ИСПДн. Лукацкий абсолютно верно написал. Только и ФСТЭК считает точно также, судя по изданным им документам. А вот есть мнение отдельных представителей ФСТЭК, которых жизнь со временем поправит ))))))).
ICQ 377238542
Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 12 ... 30 След.