Можно мне примерно так же ответить, какую информацию запросить у разработчика асу ТП по серверному оборудованию в части по и ОС. Что в ней проверить для реализации защиты зокии (для создания подсистемы защиты зокии). Был бы очень благодарен))

Может ос там должна быть сертифицированной например?

Обычно мы садимся с эксплуатантами и при необходимости с разработчиками и заполняем большую анкету о структуре системы, архитектуре, назначении, наличии в соответствующей системе функций безопасности. Смотрим на систему, на инвентаризационные данные, читаем документацию на её элементы. Исходя из этого задаём вопросы. В Вашем вопросе мало исходных данных.

Есть Асутп на значимом объекте кии. Для реализации функционирования этой асу ТП используется активное сетевое оборудование, управляемые контройлеры, армы и серверное оборудование. Это все дело защищается сертифицированными сзи. Само сетевое оборудование (коммутаторы и маршрутизаторы не сертифицированны по крайней мере во фстэк). Какое по там крутится на сервере данные у компании-разработчика есть. И вот возник вопрос. Нужно ли нам узнать, что там именно за ос и какое по(на серверах) , дабы проанализировать на соответствие 187-ФЗ?))

Сертифицированная ОС обязательна или СЗИ НСД, если ЗОКИИ является по совместительству ГИС. Есть нюансы в сфере ОПК (там 31 приказ от 2017 года). В остальных случаях на усмотрение оператора.

Гис не является

Искать ответ в 31м?

А этапы формирования требований и разработки мер вы проходили?

Меня тогда там не было. Очень все сложно. Одна компания, наняла другую, та третью) Может есть мысли какие вопросы можно задать или что посмотреть из документов, уже существующих. Понимаю, что очень абстрактно задаю вопросы.

Меры разработаны, сейчас на стадии утверждения

Чтобы оценивать соответствие мер, нужно понять соответствие чему. 187-ФЗ и подзаконные акты устанавливают не все требования, а только базовые. Собственник объекта КИИ должен его прокатегорировать (раз документация), сформировать ТЗ на подсистему защиты (два документация), сформировать модель угроз (три документация), разработать мероприятия (четыре). После этого начинается закупка и внедрение мероприятий. И при наличии этих четырех видо документов можно начать говорить об оценке соответствия. Например, если есть модель угроз, то надо проверить, закрывают ли меры определенные сценарии атак. Сам факт разработки мер, учитывающий модель угроз, уже можно считать некоторой оценкой соответствия разработанных мер.

Есть все эти документы, их разрабатывает подрядчик. Но вопрос стоит проверить подрядчика, все ли он делает правильно😁

А кто будет нести ответственность подрядчик или заказчик, если подрядчик, нужно ли проверять ?

Аудит третьей стороны?

Можно сказать что аудит третьей стороны. Но получается так, что подрядчик который проектировал и разрабатывал асу ТП, является и подрядчиком по проектированию подсистемы зокии)) он лицензиат фстэк по тзки

А хотят, чтоб проверели что он все учёл. Один из вопросов относится к ос и по,которое в асу ТП.

Применяются ли к нему какие то требования?

Возможно компенсация сзи от нсд в этом вопросе?

Вариантов два - компетентный специалист на стороне заказчика или 3-я сторона с опытом работы в данной сфере.

У вас асу тп кво?