Как стать автором
Обновить
1
0

Пользователь

Отправить сообщение

Опять же версия IPSec ГОСТ будет в релизе 4.2, который еще не зарелизился, не говоря о сертификации.

Вы пишите про 4 континент в рамках шифров, но не говорите что у данного продукта нет сертификата на шифры, что в плане законодательства уравнивает его с любым открытым решением.

Подскажите, когда Ваши коллеги получат сертификат, и на что?

Расскажите по подробнее, что входило в аттестацию, в техническом плане и какие средства защиты информации. Система виртуализации, межсетевое экранирование, waf, сзи от нсд (если да то где), может так же криптография? И что требуется заказчкику докупить установить при переносе системы к Вам в облако?

Конкретно континент 4 пока нельзя использовать там где необходимо ГОСТовое шифрование. Нет сертификата от ФСБ

Наверное с теми которые позволяют дочитать до конца.

 Xeovo решает проблему на лету переходом на stealth proxy. Все обращения мы обрабатываем по мере их поступления, давая клиентам инструкции по переходу на stealth proxy и помогая клиенту с настройкой при наличии вопросов

Полностью согласен, покупал MIYOO MINI (не Plus) на страте, симпатичная но что бы испольовать тригеры нужно быть или гитаристом или пианистом.

Если не требуются доп службы. Есть вариант купить лицензию ALD Pro без дополнительных лицензий на 7 Astra Linux Special Edition?

Да это понятно. Подскажите, этот какая то особенность, что не получается все развернуть в рамках одного сервера?

Подскажите для развертывания ALD Pro, все так же требуется пачка виртуальных/физических серверов с астрой (насколько помню толи 8 толи 9 требуется)?

SafePal еще ничего вроде кошельки

Они 100% были, только там что то вроде

1) Системный блок "Снежинка" - кол. 300 шт.

Да конечно, высылайте всегда интересно по дискутировать с колегами.

Тогда и называйте все своими именами не вводите людей в заблуждение: "Подводные камни при работе с исполнителем во время обеспечение защиты информации на объекте информатизации, включая Аттестацию ОИ"

Ни кто не мешает заказчику разбить все по этапам. Спроектировать, закупить, внедрить, провести тестувую эксплуатацию и только в конце провести Аттестацию. Но не редко так и бывает, а иначе получается такой вот казус, что в одном договоре сразу прописанны и обследование и проектирование и конкретная закупка и внедрение и аттестация. От куда возникает вопрос зачем вам обследование и проект если вы уже в контракте прописали что будете закупать.

Тогда, как правило, заключается ДОГОВОР с органом по аттестации на АТТЕСТАЦИЮ, в который входят виды работ из пунктов 1–3, и этот случай работает как для коммерции, так и для ГИСов.

Получается или Вы вангуете что закупать заказчику, или прорабатываете проект с заказчиком до заключение договора. И наче незная какой клас и какие СЗИ нужны, как вы всписываетесь в конкретную цену контракта?

Если вы не ванги, то получается что вы за ранее обрабатываете заказчика по поводу смет и цен, а значит защищаете контракт готовя его под себя. Тогда зачем эта статья про выбор Аттестующей организации раз все уже решенно?

Скажите пожалуйста, в каких комерческих структурах (ИП/ООО/ЗАО и т.д.) можно беспрепятсвеного его использовать? Ну и про гос тоже интересно.

Смешались кони люди.

Как правило, в аттестацию входят следующие виды работ: 

  1. Обследование объекта информатизации; 

  2. Разработка организационно-распорядительной документации (ОРД); 

  3. Установка и настройка СЗИ; 

  4. Согласование программы и методик аттестационных испытаний; 

  5. Проведение аттестационных испытаний; 

  6. Выдача аттестата соответствия и отправка документов в ФСТЭК.

Это не аттестация. Аттестация это только 4-6 пункт. Формально у владельца объекта (Заказчика) уже должно быть готово все к аттестации, cпроектирована система защиты, закуплены/установленны/настроены все необходимые средства защиты, разработанны все необходимые ОРД в том числе модель узгоз и т.д. При чем если Вы уж ссылаетесь на 77 приказ ФСТЭК, то там прописанно, что необходимо предоставить исполнителю (Аттестатору) для проведения работ по аттестации (раздел III пункт 11). И вся аттестация по сути сводиться к проверке выполнения тех или иных требований к ГИС/ИСПДН/КИИ и т.д.

По этому считаю заголовок кликбейтным, а суть статьи не верной и вводящей в заблуждение. К примеру возьмем 17 приказ ФСТЭК (Требования к ГИС) там четко прописанны мероприятия которые необходимо выполнить для обеспечения защиты (пункт 13):

  • формирование требований к защите информации, содержащейся в информационной системе;

  • разработка системы защиты информации информационной системы;

  • внедрение системы защиты информации информационной системы;

  • аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;

  • обеспечение защиты информации в ходе эксплуатации аттестованной

    информационной системы;

  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Как вы видите аттестация это только один пункт и тот не весь, который регулируется 77 приказом ФСТЭК. В догонку в том же 17 приказе есть такая формулировка:

Проведение аттестационных испытаний информационной системы должностными лицами (работниками), осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.

Тиким образом физически должны быть разные люди кто внедряет/проектирует и аттестовывает.

Подводя итог, если Заказчик хочет аттестацию он должен понимать что он хочет. А вариант, которых кстати 80-90% из общего числа, когда нам надо аттестацию на систему в которой ничего нет, сама аттестация занимает 10-15% времени и сил.

Вот только есть нюанс, ни вы ни герой статьи не работал на государство. Вы и она работали на фирму и в идеале Вам и ей должно быть паралельно кто кому там с верху не платит.

Несколько вопросов к сертифицированной версии.

1) Какие меры и как выполняются в соответвии с 239, 21 и 17 приказами ФСТЭК

2) Как возможно установка пакетов, что бы не потерять сертифкат? Только из заранее подготовленых репозиториев и из списка матрицы совместимости?

Спасибо за хороший инструмент. Единсввенное не получилось завести под виндой выполнение консольных команд, к примеру ввожу "ping google.com -t" и сразу получаю сообщение что команда финишировала и никакого вывода, куда можно копать?

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность