Тогда и называйте все своими именами не вводите людей в заблуждение: "Подводные камни при работе с исполнителем во время обеспечение защиты информации на объекте информатизации, включая Аттестацию ОИ"
Ни кто не мешает заказчику разбить все по этапам. Спроектировать, закупить, внедрить, провести тестувую эксплуатацию и только в конце провести Аттестацию. Но не редко так и бывает, а иначе получается такой вот казус, что в одном договоре сразу прописанны и обследование и проектирование и конкретная закупка и внедрение и аттестация. От куда возникает вопрос зачем вам обследование и проект если вы уже в контракте прописали что будете закупать.
Тогда, как правило, заключается ДОГОВОР с органом по аттестации на АТТЕСТАЦИЮ, в который входят виды работ из пунктов 1–3, и этот случай работает как для коммерции, так и для ГИСов.
Получается или Вы вангуете что закупать заказчику, или прорабатываете проект с заказчиком до заключение договора. И наче незная какой клас и какие СЗИ нужны, как вы всписываетесь в конкретную цену контракта?
Если вы не ванги, то получается что вы за ранее обрабатываете заказчика по поводу смет и цен, а значит защищаете контракт готовя его под себя. Тогда зачем эта статья про выбор Аттестующей организации раз все уже решенно?
Как правило, в аттестацию входят следующие виды работ:
Обследование объекта информатизации;
Разработка организационно-распорядительной документации (ОРД);
Установка и настройка СЗИ;
Согласование программы и методик аттестационных испытаний;
Проведение аттестационных испытаний;
Выдача аттестата соответствия и отправка документов в ФСТЭК.
Это не аттестация. Аттестация это только 4-6 пункт. Формально у владельца объекта (Заказчика) уже должно быть готово все к аттестации, cпроектирована система защиты, закуплены/установленны/настроены все необходимые средства защиты, разработанны все необходимые ОРД в том числе модель узгоз и т.д. При чем если Вы уж ссылаетесь на 77 приказ ФСТЭК, то там прописанно, что необходимо предоставить исполнителю (Аттестатору) для проведения работ по аттестации (раздел III пункт 11). И вся аттестация по сути сводиться к проверке выполнения тех или иных требований к ГИС/ИСПДН/КИИ и т.д.
По этому считаю заголовок кликбейтным, а суть статьи не верной и вводящей в заблуждение. К примеру возьмем 17 приказ ФСТЭК (Требования к ГИС) там четко прописанны мероприятия которые необходимо выполнить для обеспечения защиты (пункт 13):
формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной
информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Как вы видите аттестация это только один пункт и тот не весь, который регулируется 77 приказом ФСТЭК. В догонку в том же 17 приказе есть такая формулировка:
Проведение аттестационных испытаний информационной системы должностными лицами (работниками), осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.
Тиким образом физически должны быть разные люди кто внедряет/проектирует и аттестовывает.
Подводя итог, если Заказчик хочет аттестацию он должен понимать что он хочет. А вариант, которых кстати 80-90% из общего числа, когда нам надо аттестацию на систему в которой ничего нет, сама аттестация занимает 10-15% времени и сил.
Вот только есть нюанс, ни вы ни герой статьи не работал на государство. Вы и она работали на фирму и в идеале Вам и ей должно быть паралельно кто кому там с верху не платит.
Спасибо за хороший инструмент. Единсввенное не получилось завести под виндой выполнение консольных команд, к примеру ввожу "ping google.com -t" и сразу получаю сообщение что команда финишировала и никакого вывода, куда можно копать?
Т.к. я выбирал специально с ч/б экраном, то я очень доволен. Кастомизация есть, автономность в месяц меня устраивает. Из несомненных плюсов это полностью кнопочное управление, быстро привыкаешь что не надо никуда тыкать пальцем (это как сравнивать обычную клавиатуру на ПК и виртуальную на смартфоне/планшете). Раньше были Vivoactive 3 вот там как раз сенсорное управление, и это мне не зашло. На счет Fenix 6 ничеге не скажу т.к. из за их цены даже не рассматривал.
Выбирая часы в крайний раз, тоже смотрел на эту серию от Casio, но т.к. чтение сообщений в них реализованно ну очень очень не очень, остановился на Garmin Instinct 2, да автономность не год, а всего +- месяц, но если место жительства позволяет, можно взять с фукнцией solar и теоретически будет неограниченное время работы.
Основное что печалит, это как описано в статье, полное отсутствие обновлений для старых устройств, исходя из опыта прошлых лет, устройство всегда остается на той же версии ОС что было при старте, максимум 3-4 хот фикса прилетит.
Придерживаясь позиции Sabbone, закон Джона Сузы не имеет смысла так как, никто не знает является ли межзвездный корабль ультимативным оружием, или нет.
Тогда и называйте все своими именами не вводите людей в заблуждение: "Подводные камни при работе с исполнителем во время обеспечение защиты информации на объекте информатизации, включая Аттестацию ОИ"
Ни кто не мешает заказчику разбить все по этапам. Спроектировать, закупить, внедрить, провести тестувую эксплуатацию и только в конце провести Аттестацию. Но не редко так и бывает, а иначе получается такой вот казус, что в одном договоре сразу прописанны и обследование и проектирование и конкретная закупка и внедрение и аттестация. От куда возникает вопрос зачем вам обследование и проект если вы уже в контракте прописали что будете закупать.
Получается или Вы вангуете что закупать заказчику, или прорабатываете проект с заказчиком до заключение договора. И наче незная какой клас и какие СЗИ нужны, как вы всписываетесь в конкретную цену контракта?
Если вы не ванги, то получается что вы за ранее обрабатываете заказчика по поводу смет и цен, а значит защищаете контракт готовя его под себя. Тогда зачем эта статья про выбор Аттестующей организации раз все уже решенно?
Скажите пожалуйста, в каких комерческих структурах (ИП/ООО/ЗАО и т.д.) можно беспрепятсвеного его использовать? Ну и про гос тоже интересно.
Смешались кони люди.
Это не аттестация. Аттестация это только 4-6 пункт. Формально у владельца объекта (Заказчика) уже должно быть готово все к аттестации, cпроектирована система защиты, закуплены/установленны/настроены все необходимые средства защиты, разработанны все необходимые ОРД в том числе модель узгоз и т.д. При чем если Вы уж ссылаетесь на 77 приказ ФСТЭК, то там прописанно, что необходимо предоставить исполнителю (Аттестатору) для проведения работ по аттестации (раздел III пункт 11). И вся аттестация по сути сводиться к проверке выполнения тех или иных требований к ГИС/ИСПДН/КИИ и т.д.
По этому считаю заголовок кликбейтным, а суть статьи не верной и вводящей в заблуждение. К примеру возьмем 17 приказ ФСТЭК (Требования к ГИС) там четко прописанны мероприятия которые необходимо выполнить для обеспечения защиты (пункт 13):
формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной
информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Как вы видите аттестация это только один пункт и тот не весь, который регулируется 77 приказом ФСТЭК. В догонку в том же 17 приказе есть такая формулировка:
Тиким образом физически должны быть разные люди кто внедряет/проектирует и аттестовывает.
Подводя итог, если Заказчик хочет аттестацию он должен понимать что он хочет. А вариант, которых кстати 80-90% из общего числа, когда нам надо аттестацию на систему в которой ничего нет, сама аттестация занимает 10-15% времени и сил.
Вот только есть нюанс, ни вы ни герой статьи не работал на государство. Вы и она работали на фирму и в идеале Вам и ей должно быть паралельно кто кому там с верху не платит.
Несколько вопросов к сертифицированной версии.
1) Какие меры и как выполняются в соответвии с 239, 21 и 17 приказами ФСТЭК
2) Как возможно установка пакетов, что бы не потерять сертифкат? Только из заранее подготовленых репозиториев и из списка матрицы совместимости?
Спасибо за хороший инструмент. Единсввенное не получилось завести под виндой выполнение консольных команд, к примеру ввожу "ping google.com -t" и сразу получаю сообщение что команда финишировала и никакого вывода, куда можно копать?
Нет, они и так ее получают дважы, и с клиента и с сервера. А теперь хотят третий раз, но уже под эгидой на модернизации сети.
Вопрос что это было и что делать дальше? Обновлять, накатывать патчи и как быть с текущими формуляроми на руках?
Налог на обувь тогда надо еще включить, а то за чей счет тротуары строить/ремонтировать.
Документы подтверждающие что?
И что спросят ГИБДД при остановке? Прав не надо, документов нетребуется, страховка не нужна. Очень интересный диалог получиться.
И как теперь таким конторам как Код безопастности, Инфотекс и т.д. Там же целые инструкции к их продуктам по настройке VPN и т.д.
del
Т.к. я выбирал специально с ч/б экраном, то я очень доволен. Кастомизация есть, автономность в месяц меня устраивает. Из несомненных плюсов это полностью кнопочное управление, быстро привыкаешь что не надо никуда тыкать пальцем (это как сравнивать обычную клавиатуру на ПК и виртуальную на смартфоне/планшете). Раньше были Vivoactive 3 вот там как раз сенсорное управление, и это мне не зашло. На счет Fenix 6 ничеге не скажу т.к. из за их цены даже не рассматривал.
Выбирая часы в крайний раз, тоже смотрел на эту серию от Casio, но т.к. чтение сообщений в них реализованно ну очень очень не очень, остановился на Garmin Instinct 2, да автономность не год, а всего +- месяц, но если место жительства позволяет, можно взять с фукнцией solar и теоретически будет неограниченное время работы.
del
1) Когда починят 1C, нормально на работает (в тп писали)
2) Сертификат 3866 выдан на Альт 8 СП
Основное что печалит, это как описано в статье, полное отсутствие обновлений для старых устройств, исходя из опыта прошлых лет, устройство всегда остается на той же версии ОС что было при старте, максимум 3-4 хот фикса прилетит.
Придерживаясь позиции Sabbone, закон Джона Сузы не имеет смысла так как, никто не знает является ли межзвездный корабль ультимативным оружием, или нет.
Такой же ворос возник при прочтении, да еще и нет гарантии работоспособности сгенерированного кода.