GD Star Rating
loading...

Есть ПО, сертифицированное ФСТЭК, диск, голограммы, бумажки, все опечатано. Кто должен его устанавливать, специально обученная компания с лицензией или это может сделать наш айтишник? А то нам тут накидывают, мол сами установите, то сгорит фстэковская сертификация и при проверке, которая намечается, нам это все запишут в замечания.

Tagged with →  

39 Responses to ПО, сертифицированное ФСТЭК

  1. Giboff:

    Можешь сам.

  2. Irire:

    самый простой вариант, это по завершению внедрения обратиться в атестующую организацию, чтоб она выдала сертификат соответсвия.
    плюс должен быть разумный проект, на основе которого эти все решения выбирались, как ставились и проч. вася вчера за пивом сказал, что СекретНет рулит, а Панцирь говно не канает.

  3. TaCSm:

    начнем с того, что без “разумного проекта” эти сертификаты и голограммы нахуй никому не нужны.

  4. Irire:

    мало ли. видел людей, которые накупят випнетов и сторят хуйню…
    сам работаю в интеграторе. всяких клоунов насмотрелся )

  5. Reten:

    А что вообще вы делаете и что проверять будут?

  6. Rep00:

    Должен быть человек ответственный приказом за то для чего применяется ПО, а потом в формулярчике прописать этого человека и все работы. Да, я из госучреждения. Да, у нас хуйня из випнетов и прочее, да – фстэк.

  7. TsiWin:

    да обычная коммерческая компания с обычными персональными данными и вроде больше ничего такого секретного. Проверка будет от Роскомнадзора. Менейджер каким-то хуем на волне подготовки к этой проверке купил сертифицированное по, хотя мы его собирались покупать, но обычное, но он сука умудрился купить именно с этим сертификатом и теперь носится с ним как со стеклянным хуем и много пиздит словами проверка и фз.

  8. Rep00:

    ФЗ СТО ПИСЯТ ДВА

  9. TsiWin:

    у меня ща нервный тик случится

  10. TsiWin:

    И вообще, обычной компании есть необходимость покупать и устанавливать ПО, сертифицированное ФСТЭК? Или это все обязаловка для госорганов?

  11. TaCSm:

    необходимость покупать и устанавливать ПО, сертифицированное ФСТЭК исходит из выбора мер направленных на устранение угроз, которые определены в моделе угроз.

  12. TsiWin:

    вот пишите так, что нихера не понятно, прямо как во всех этих приказах и постановлениях 🙂

    Хорошо, в чем разница между антивирусником с этим сертификатом и без, если мы хотим защитить ПК от вирусов и вредоносного ПО? Угроза, я так понимаю, тут будет вирусы и все такое. Антивирусник с сертификатом более сильнее защищает что ли?

  13. NamRU:

    вообще-то, модель угроз – это не только защита от вирусов и вредоносного ПО.
    а как вы собираетесь поступить с несанкционированным копированием КТ’шной информации (в бумаге и на носителях), пересылкой её по почте, etc.? или у вас в организации такая задача не стоит?

  14. NaiaTa:

    Для выполнения работ по защите ПДн необходимо привлекать организацию, имеющую лицензию ФСТЭК на техническую защиту конфиденциальной информации (ТЗКИ). Ну, по крайней мере, так было: источник

  15. TsiWin:

    Лицензия на деятельность по ТЗКИ необходима для выполнения определенных работ (ТЗКИ) по приведению СЗПДн в соответствие с законом вне зависимости от того, оказывает ли оператор какие-либо услуги неограниченному кругу лиц (субъектам ПДн) или обрабатывает только ПДн своих сотрудников.

    Все ебанулись. То есть ВСЕМ компаниям нужно получать эту лицензию, если они хотят защитить свои ПД? Или нужно получать лицензию, чтобы сами сотрудники компании могли установить сертифицированный продукт для защиты своих ПД? Опять же, обязательно иметь для защиты своих ПД без спецкатегорий всяких этих ПД в обычной компании на 100 человек сертифицированное ПО?

  16. TsiWin:

    я привел всего лишь один маленький конкретный пункт, скажем так, чтобы попробовать на его примере разобраться. Мы сейчас рассматриваем защиту персональных данных. Как компания защищает свою комтайну вроде госорганы насильно не проверяют.

  17. Giboff:

    сынуля, как посмел батяню минусовать?

  18. NaiaTa:

    у нашей конторы есть такая лицензия, инбокес телефон, мы тебе посчитаем. Но скорее всего будет дорого 🙂

  19. NaiaTa:

    потому что не согласен 🙂 а ты неопытного юношу зачем дезинформируешь?

  20. NaiaTa:

    у вас очередная проверка или внеочередная?

  21. Giboff:

    это ты дезинформируешь. Спроси у Лехи. Зачем даешь ссылку на неработающий сайт?

  22. Irire:

    ты подходишь не с той стороны.
    по сути все эти мероприятия по защите идут от аналитики.
    установка железок и ПО – это вершина айсберга. большая часть работы – это выяснить уязвимые места (по опыту – у всех почти одни и те же) и закрыть их наиболее подходящими средствами в нужных местах. про те же антивирусники наиболее оптимально не только те антивирусы, которые прошли проверку соответсвия, но и еще комплексность подхода, что на АРМ один производитель, на серверах другой. а на МЭ – третий. ибо ни один ни без греха.
    часть вопросов часто закрывается теми же бумажками и регламентами.

  23. TsiWin:

    очередная и вроде как вообще первая

  24. TsiWin:

    у нас тут уже занимаются обследованием, чтобы подготовиться к этой проверке роскомнадзора. Мы же иногда у этой компании покупаем ПО по чуть-чуть. И вот в один прекрасный момент захотелось нам купить софт и вот этот наш менейджер пиздани этой конторе, что мол у нас тут проверка будет, вся хуйня, а они возьми и впарь ему софт с сертификатом, а наш этот менейджер иксперт еще и до кучи начал пиздеть, что мы и сами теперь его поставить не можем, а объяснить разницу между по с сертификатом и без него не может для нашей обычной организации. То есть, если бы мы купили без этого сертификата, то чего было бы то?
    Вот что такое подходящие средства? Нашли винду без пароля, скажут сделать винду с доменной авторизацией или винду сертифицированную с доменной авторизацией? Ну и куда ж без комплексности подхода. То есть может оказаться так, что на не сертифицированной доменной винде будет стоять сертифицированный антивирь и не сертифицированная 1ска, а усб отключим через биос и запоролим его?
    В электическом виде у нас только обычные перс данные сотрудников и вроде как без всяких спец категорий. Те, которые не сотрудники, там все на бумаге, типа прохода на кпп, этим пусть другие заморачиваются.

  25. TaCSm:

    А в чем разница между антивирусом Касперского и антивирусом Бабушкина? Сертификат как бы подтверждает, что:
    1) Ты получил этот антивирус из надежного источника.
    2) Он выполняет свои функции как должно.

  26. TsiWin:

    я купил антивирусник у официального дилера, а сертификат подверждает, что в нем ничего такого, чего боится фсб. Зачем рядовой компании такие навороты? Мы не гос орган, у нас нет гос тайны, нам не актуальны недокументированные закладки и функции в нашем по, мы не интересны всяким там буржуйским разведкам скорее всего 🙂

  27. NaiaTa:

    посоны, можно, если леха говорит!

  28. NaiaTa:

    я исправился двукратно!!!;)

  29. Giboff:

    ты лучше напиши, что он сказал. Не дезинформируй народ.

  30. TaCSm:

    пункт 6 Приказа N21 ФСТЭК от «18» февраля 2013 г.
    гласит:
    Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление
    деятельности по технической защите конфиденциальной информации.

    Коллеги безопасники утверждают, что это следует трактовать так, что если оператор делает это для себя, то лицензия не нужна.
    Другое дело, что самостоятельно разобраться во всей этой херне самому просто нереально, проще и правильнее пригласить компетентных людей, которые все тебе сделают.

  31. TsiWin:

    да, напиши юноше, что Леха говорит, не дезоморфинируй народ.

  32. NaiaTa:

    Я откуда знаю, это ж ты с ним говорил. А он пока сегодня ещё на работу не подошёл. Как подойдёт, то напишу

  33. NaiaTa:

    Кстати, ссылка отлично открывается

  34. Giboff:

    я с ним не говорил 🙂

  35. Giboff:

    вчера не открывалась. Теперь вижу, что там бородатая, неактуальная инфа.

  36. NaiaTa:

    Я твоё @это ты дезинформируешь. Спроси у Лехи@ видимо не правильно понял

  37. Reten:

    Цитирую 21 приказ ФСТЭК:
    “4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты
    информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”

    То есть, сертификат не обязательно должен быть фсбшный, а конкретно в случае антивирусов он необходим для любого уровня защищённости персональных данных. Зачем это нужно? Причин полно, как экономических, так и политических.

  38. Reten:

    В текущих реалиях – ничего необычного, стоит ненамного дороже. Цена некоторого софта так вообще одинакова.
    Суть сертификата – в формуляре на ПО и голографической наклейке на диске. Сам софт, понятно, такой же – разве что версия может быть более старая. В реалиях проверки у вас наверняка будут проверять только наличие софта (из техпаспорта) и сверять номер на голографической наклейке с указанным в техпаспорте.

    Сертификат нужен только для средств защиты информации. Если функции ПО 1С не используются как СЗИ, то сертификат на него не нужен.

Добавить комментарий