АСТА-информ

Учебный центр
Личный кабинет

Москва: + 7 (499) 130-06-34
Челябинск: + 7 (351) 222-45-00 uc@asta74.ru

  • Главная
  • Курсы
    • Повышение квалификации
    • Переподготовка
    • Электронные курсы
    • Выездное обучение
    • Условия обучения
  • Семинары
    • Персональные данные
    • Информационная безопасность
    • Государственные закупки
    • Бугалтерский учет и финансы
    • Электронные курсы
    • Выездное обучение
    • Условия обучения
  • Расписание
    • Расписание курсов
    • Расписание семинаров
    • Расписание вебинаров
    • Расписание на текущий месяц
  • Дистанционно
    • Документы по персональным данным
    • Электронные курсы по персональным данным
    • Отраслевые курсы по персональным данным
    • Видеокурсы по персональным данным
    • Электронные курсы по информационной безопасности
    • Электронные курсы по бухгалтерскому учету
    • Электронные курсы по кадровому делопроизводству
    • Обязательные курсы
    • Открытые курсы
    • Методические материалы
    • Как купить курс
    • Условия использования
  • Об Учебном центре
    • Сведения об образовательной организации
    • Отзывы клиентов
  • Контакты

Учебный центр

  • Сведения об образовательной организации
  • Отзывы клиентов

Внесены изменения в приказ ФСТЭК №17

Ссылка на документ: http://minjust.consultant.ru/documents/22938
 
Мнение А.В. Лукацкого: http://lukatsky.blogspot.ru/2017/03/17.html
 
 
Какие изменения я увидел по сравнению с проектом? Их несколько:
  • В проекте требовалось, чтобы по результатам анализа уязвимостей было подтверждено отсутствие в ГИС уязвимостей из БДУ ФСТЭК. В финальной редакции добавили, что также возможно доказать невозможность использования этих уязвимостей при их наличии (хорошее дополнение).
  • В проекте говорилось о том, что не допускается выполнение одним лицом функций проектирования и внедрения системы защиты ГИС. В финальной версии зачем-то добавили слово" должностное", что привело к новым вопросам (на мой взгляд). В законодательстве термин "должностное лицо" применяется только к органам власти, а аттестацией у нас ханимаются преимущественно коммерческие компании, к которым термин "должностное лицо" не применяется (кроме КоАП и УК). Отсюда вопрос, что имели ввиду во ФСТЭК, когда добавляли "должностное"? Раньше ФСТЭК использовала фразу "руководитель, иное должностное лицо или уполномоченный представитель лицензиата", которая лучше отражала круг лиц, на которых распространялись требования ФСТЭК.
  • Убрали термин "тестирование на проникновение" и вообще сократили описание данного вида аттестационных испытаний. Кроме того, убрали обязательность данного вида испытаний для ГИС 1-го и 2-го классов.
  • А на русский язык-то не проверили до конца. Например, в п.17.6 предлагается такая формулировка "должны используются" вместо "должны использоваться" или "используются". Интересно, как правильно?
  • Целиком переписали п.25 (в проекте его не было) про учет потенциала нарушителя при выборе защитных мер.
Приказ вступил в силу в течение 10 дней с момента его регистрации в Минюсте, то есть он уже действует. Всем удачи в его выполнении...

UPDATE: Пропустил. Оказывается в финальной версии изменилась также таблица с базовыми защитными мерами. В частности изменения претерпели следующие меры - УПД.3 (управление потоками) и ЗСВ.10 (сегментирование виртуальных сред); теперь они включены в базовый набор, начиная с 3-го класса защищенности информационной системы.

 

АСТА-информ

Учебный центр
+ 7 (499) 130-06-34, + 7 (351) 222-45-00
г. Челябинск, ул. Яблочкина, д. 9, оф. 10.
uc@asta74.ru                                        Карта

Форма поиска

  • ВКонтакте
  • Mail.RU
  • Facebook
  • Twitter
  • Google+
  • YouTube