Печать

Пожалуйста, войдите или зарегистрируйтесь.
1 час 1 день 1 неделя 1 месяц Навсегда

[alexput]

Пока единственный документ где фигурирует необходимость предоставить сертификат - это перечень документов на получение ФСМ или АМ. Пока на пиво марки не введут, вроде как, сертификат все-таки не нужен.

При получении ФСМ сертификат  на ЕГАИС уже прикладывать не надо, ст.12 п.2.1 ФЗ 171

[sparkiss]

Пока единственный документ где фигурирует необходимость предоставить сертификат - это перечень документов на получение ФСМ или АМ. Пока на пиво марки не введут, вроде как, сертификат все-таки не нужен.

Ещё на опломбировку ТСФиПИ. Почему вы решили что их РАР не пломбируют на пиве?

[Rus-Egais]

Этот акт, как я говорил, состоит из двух блоков. Первый что вы готовы к подключению, второй что комплекс запущен. В конкретно вашем случае (пиво) - да, можно на последнем этапе все сразу заполнить. В общем случае (с крепким алкоголем) первый блок заполняется после получения ПО и установки на железо, второй блок после опломбирования серверов и активации комплекса reg-файлом.
Да, слышал что некоторые пивзаводы прошли сертификацию. Тот же Хайнекен... Пока единственный документ где фигурирует необходимость предоставить сертификат - это перечень документов на получение ФСМ или АМ. Пока на пиво марки не введут, вроде как, сертификат все-таки не нужен.

А разве в технических условиях нет требования использовать сертифицированный комплекс?

[Сумрак]

Мы не решили, нам РАР сказал. Конкретно МРУ по ЦФО. Написали письмо с вызовом, они отписались что никто не поедет так как железо на производителях пиво они не пломбируют.

[Сумрак]

Этот акт, как я говорил, состоит из двух блоков. Первый что вы готовы к подключению, второй что комплекс запущен. В конкретно вашем случае (пиво) - да, можно на последнем этапе все сразу заполнить. В общем случае (с крепким алкоголем) первый блок заполняется после получения ПО и установки на железо, второй блок после опломбирования серверов и активации комплекса reg-файлом.
Да, слышал что некоторые пивзаводы прошли сертификацию. Тот же Хайнекен... Пока единственный документ где фигурирует необходимость предоставить сертификат - это перечень документов на получение ФСМ или АМ. Пока на пиво марки не введут, вроде как, сертификат все-таки не нужен.

А разве в технических условиях нет требования использовать сертифицированный комплекс?

Вот тут http://egais.ru/news/view?id=3 аж красным цветом выделено что "Сертификация компонентов ЕГАИС как программного комплекса не требуется!" (с)

[sparkiss]

Зная нашего регулятора, не факт, что спустя полгода что-нибудь поменяется и придется сертификацию делать.

[Rus-Egais]

Этот акт, как я говорил, состоит из двух блоков. Первый что вы готовы к подключению, второй что комплекс запущен. В конкретно вашем случае (пиво) - да, можно на последнем этапе все сразу заполнить. В общем случае (с крепким алкоголем) первый блок заполняется после получения ПО и установки на железо, второй блок после опломбирования серверов и активации комплекса reg-файлом.
Да, слышал что некоторые пивзаводы прошли сертификацию. Тот же Хайнекен... Пока единственный документ где фигурирует необходимость предоставить сертификат - это перечень документов на получение ФСМ или АМ. Пока на пиво марки не введут, вроде как, сертификат все-таки не нужен.

А разве в технических условиях нет требования использовать сертифицированный комплекс?

Вот тут http://egais.ru/news/view?id=3 аж красным цветом выделено что "Сертификация компонентов ЕГАИС как программного комплекса не требуется!" (с)

Нашел, там в постановлении от 31 декабря 2005 г. N 873 есть оговорка "за исключением пива, пивных напитков, сидра, пуаре и медовухи", но есть понятие ТСФПИ и программные средства (Сертификация компонентов ЕГАИС как программного комплекса не требуется), и также ключевое слово по этапное внедрение, а значит могу в любой момент убрать оговорку и не оговаривают сертификацию технических средств.

[Rus-Egais]

Можно приобрести готовые сертифицированные дистрибутивы и быть готовыми или же потом заработать геморрой с их сертификацией.

[Сумрак]

А вот и нет... Слишком дорого и не нужно. Проще пройти, как понадобится, аттестацию по требованиям защиты информации ФСТЭК с несертифицированными дистрибутивами и получить сертификат. Получается дешевле намного и проще. И аттестат ФСТЭК по СТР-К при неизменности комплекса делается на три года. Т.е. не надо каждый год башлять Альтэкс-софту за их эти кривые проверочные проги и т.д.

[odmin]

Вот тут http://egais.ru/news/view?id=3 аж красным цветом выделено что "Сертификация компонентов ЕГАИС как программного комплекса не требуется!" (с)

Ага, по той же ссылке ещё написано, что у него должен быть один сервер на виндовс 7 и всё...

[alexput]

А вот и нет... Слишком дорого и не нужно. Проще пройти, как понадобится, аттестацию по требованиям защиты информации ФСТЭК с несертифицированными дистрибутивами и получить сертификат. Получается дешевле намного и проще. И аттестат ФСТЭК по СТР-К при неизменности комплекса делается на три года. Т.е. не надо каждый год башлять Альтэкс-софту за их эти кривые проверочные проги и т.д.

А можно поподробнее про этот вариант?

[Сумрак]

Так я уже писал как-то. Когда мусолили про 151-ый приказ...
Вот цитата оттуда: "...По поводу ответа Антона Валерьевича тремя страницами ранее... Дело в том что в 151-ом несколько "подкорректировали" п.11-ый 17-го приказа ФСТЭК. Правильнее это называется должностной подлог, потому явно никто об этом и не напишет. Ибо страшно это в нынешние времена Сам приказ можно посмотреть в инете. Он открытый. А есть еще хорошее разьяснительное письмо начальника второго управления Лютикова о том как его правильно читать... И то (а это самое важное), что на ГИСы распространяется СТР-К, а значит они подлежать аттестации.
Я тоже указывал РАРу что они неверно читают 11-ый пункт 17-го приказа. Они это признали и написали в ответе что будут готовить изменения в техрегламент исключающие избыточные требования. Но, думаю, это нескоро еще случится…
ЕГАИС зарегистрирован в роскомнадзоре как ГИС (http://rkn.gov.ru/it/register/?id=101665), а значит требования 17-го приказа на него действительно распространяются, только в РАРе нет, как я понял из разговора с ними, спецов по информационной безопасности и потому они не знают как правильно что и как делать с этим…
Ну это была преамбула. Что из основного….
РАР требует сертификации всего ПО Microsoft. Смотрим табличку в техрегламенте и сверяем с тем что сертифицируется от Microsoft (http://www.microsoft.com/rus/government/certificate/)
Серверная операционка – от Microsoft Windows Server 2003 Standard Edition R2 и выше. Ну, тут ладно. Они сертифицировались. Менять не нужно. Если это конечно не видоизмененная операционка под конкретную серверную платформу (лицензия ROC). Тот же HP очень любит поставлять такие и нам, это конечно, удобнее. В дистриб зашиты сразу все нужные дрова, дрова рейд-контроллера и пр… Но такой вариант уже не пройдет. Дистриб не верифицируется…
MS SQL 2005 – сертифицирован ФСТЭК только корпоративный вариант (OpenLicence) и только русская версия. Народ покупал в основном коробочную английскую. Т.е. надо менять. Это в районе 50 тыс.
Самый прикол – MSOffice Какая связь с защитой информации вообще не ясно, но, типа требуется… По табличке - от Microsoft Office 2000 и выше. Народ и закупил в основном коробочную версию «Для дома и бизнеса», а не тут то было. Сертифируется ФСТЭК только корпоративная RPO PLUS. Вместо 7-8 тыс, имеем уже 24 тыс. на одно рабочее место.
Операционка на рабочих местах – тоже только OpenLicence и никакой предустановки. В основном обычно компы для рабочих мест закупаются уже с наклейкой на корпусе и с предустановленной системой (лицензия OEM). Не проходит…
В общем по этому вопросу получается для подготовки комплекса ЕГАИС к сертификации по новым требованиям – нужно вложить в замену ПО (легально купленного с лицензиями и работоспособного) порядка 150-200 тыс разово и отдать Альтэкс-софту за проверку его порядка 20-30 тыс. И эта мзда будет каждый год. Альтэкс-Софт там аж пищит от удовольствия - им бабло валится в виде водопада от ЕГАИСовцев. Про подозрение что и появилось это требование неспроста, думаю, промолчим...
Какой выход… По закону, оказывается, можно не сертифицировать ПО, а использовать сверху сертифицированные СЗИ на каждый возможный канал утечки данных. Все эти каналы для каждого класса защищенности ГИСа расписаны в приложении к 17-му приказу. Есть прям табличка как таблица умножения. По горизонтали – угрозы, по вертикали СЗИ. Так вот того перечня СЗИ что предписаны для комплекса ЕГАИС достаточно полностью для того чтобы не использовать встроенные механизмы защиты системного и общесистемного ПО. Т.е. сертификация продуктом мелкософта не требуется, так как механизмы защиты информации самого ПО не используются. Проверить это могут только представители фирмы имеющей лицензию ФСТЭК. Их сейчас дофига. Называется этот процесс Аттестацией по требованиям безопасности информации. Процедура тоже не дешевая, но Аттестат выдается на 3 года (если ничего в структуре комплекса не меняется). Если без ПЭМИН получается гарантированно дешевле чем менять всё мелкософтовское ПО. У меня несколько фирм уже проходили сертификацию комплекса прикладывая Аттестат на комплекс, а не отдельные сертификаты на ПО. Естественно прошли, ибо в данном случае уже вопросы информационной безопасности НИЦ не рассматривает, а за правильность использования и корректность в настройке несет ответственность фирма - лицензиат ФСТЭК." (с)
Резюме тут такое - сертификации подлежат только СЗИ. Если используются встроенные механизмы защиты общесистемного ПО - то они должны сертифицироваться, если не используются - то не должны. Проверяет это спецы по инф. безопасноти. Т.е. смысл примерно как в работе аудиторов в бухгалтерии. Аудиторы все посмотрели, сделали заключение. Налоговая уже бумажки конкретно не копает, а смотрит аудиторское заключение. Если что не так в итоге все-таки всплывет - то рискуют уже аудиторы. Ну вот как-то так...

[alexput]

Телефончик бы аудиторов? Чтобы не считали за рекламу, можно в ЛС.

[Сумрак]

Это любая фирма имеющая лицензию ФСТЭК "Деятельность по технической защите конфиденциальной информации" (ТЗКИ) с пунктом "аттестационные испытания и аттестация на соответствие требованиям по защите информации". Реестр фирм-лицензиатов есть на сайте ФСТЭК. Ищите тех кто к вам поближе и связываетесь. Говорите что сертификация по классу 1Г без ПЭМИН. Конкретно с сем работали мы - в личке.

[itlvz]

В общем по этому вопросу получается для подготовки комплекса ЕГАИС к сертификации по новым требованиям – нужно вложить в замену ПО (легально купленного с лицензиями и работоспособного) порядка 150-200 тыс разово и отдать Альтэкс-софту за проверку его порядка 20-30 тыс. И эта мзда будет каждый год. Альтэкс-Софт там аж пищит от удовольствия - им бабло валится в виде водопада от ЕГАИСовцев. Про подозрение что и появилось это требование неспроста, думаю, промолчим...

Разово, если только как не в случае с ХР, когда на нее уже не продлевали сертификат ФСТЭК.