Size: a a a

2018 October 12

AP

Aleksandr Petuhov in КИИ 187-ФЗ
Иван
Спасибо, но в любом случае должен быть ответственный! Так не бывает. Кто дал ответ?! Целый отдел или все-таки человек подписался под словами?
я не первое письмо им посылаю и никогда в ответе фамилии нет. тут уж извините вопросы не ко мне))
источник

D

Denis in КИИ 187-ФЗ
Примеров, когда объектом атаки является информация полно. Вообще не понимаю к чему эти споры - показать навыки буквоедства, спор ради спора?
Возьмите АСУ на производстве - изменение значений уставок и иных настроек и у вас уже продукция другого качества или вообще брак. Но система функционирует по приведенной логике.
источник

AP

Aleksandr Petuhov in КИИ 187-ФЗ
Dmitry Kuznetsov
Это был ответ по электронной почте? Тогда тем боле ене стоит на него ориентироваться
а на что ориентироваться? на слова из трубки телефона? это хоть какое-то подтверждение их слов
источник

PK

Pavel Korostelev in КИИ 187-ФЗ
Aleksandr Petuhov
а на что ориентироваться? на слова из трубки телефона? это хоть какое-то подтверждение их слов
Официальное письмо же
источник

SP

Sergey Pariev in КИИ 187-ФЗ
Denis
Примеров, когда объектом атаки является информация полно. Вообще не понимаю к чему эти споры - показать навыки буквоедства, спор ради спора?
Возьмите АСУ на производстве - изменение значений уставок и иных настроек и у вас уже продукция другого качества или вообще брак. Но система функционирует по приведенной логике.
Более того, есть форма же из 236-го приказа .. там напрямую перечислены типы компьютерных инцидентов
источник

SP

Sergey Pariev in КИИ 187-ФЗ
В том числе есть и модификация даннах
источник

AP

Aleksandr Petuhov in КИИ 187-ФЗ
Pavel Korostelev
Официальное письмо же
ну разумеется, не я же их ответ сам сочинял)))
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Aleksandr Petuhov
а на что ориентироваться? на слова из трубки телефона? это хоть какое-то подтверждение их слов
Цель письма какая была? Получить подтверждение трактовки? Вы его не получили. ФСТЭК не уполномочена давать разъяснения по трактовке норм закона, а письмо по электронной почте, к тому же, даже не ответ органа власти.
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Sergey Pariev
Как злоумышленник, я могу например заблокировать доступ к карточкам пациентов, фамилии которых, например, начинаются на "А" .. в остальном систему будет работать как обычно
Да, мы уперлись в частный случай, несущественный для вопроса. На мой взгляд нужно отталкиваться не от функций системы и не действий в системе, а от процессов, в которых она ииспользуется. Например, есть процесс лечения, в котором используется электронной история болезни. Если изменить даные в ней, какие будут негативные последствия для пациента? В большинстве случаев никаких: в большинству лечебных учреждений врачи используют бумажные истории болезней и собственную память, а электронную историю болезни заполняют при выписке пациента.
источник

AP

Aleksandr Petuhov in КИИ 187-ФЗ
Dmitry Kuznetsov
Цель письма какая была? Получить подтверждение трактовки? Вы его не получили. ФСТЭК не уполномочена давать разъяснения по трактовке норм закона, а письмо по электронной почте, к тому же, даже не ответ органа власти.
"Зададим этот вопрос на встрече со ФСТЭК и если это действительно их текущее мнение, то порошу регулятора выпустить соответствующее информационное письмо." - спросите у Павла зачем он это будет делать? Зачем мы вообще слушаем ФСТЭК? Кто они такие? - это так выходит из Вашего высказывания
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Aleksandr Petuhov
"Зададим этот вопрос на встрече со ФСТЭК и если это действительно их текущее мнение, то порошу регулятора выпустить соответствующее информационное письмо." - спросите у Павла зачем он это будет делать? Зачем мы вообще слушаем ФСТЭК? Кто они такие? - это так выходит из Вашего высказывания
Так вас же не просто так спросили, кем подписано письмо. Если такое скажет Лютиков - можно считать, что он озвучивает мнение всего ведомства. Кубарев? Тоже авторитетное мнение, но уже не столь весомое. Неизвестный сотрудник пятого отдела? А его кто-то уполномочивал давать трактовку норме закона?
источник

AI

Alex Ivanov in КИИ 187-ФЗ
Dmitry Kuznetsov
Да, мы уперлись в частный случай, несущественный для вопроса. На мой взгляд нужно отталкиваться не от функций системы и не действий в системе, а от процессов, в которых она ииспользуется. Например, есть процесс лечения, в котором используется электронной история болезни. Если изменить даные в ней, какие будут негативные последствия для пациента? В большинстве случаев никаких: в большинству лечебных учреждений врачи используют бумажные истории болезней и собственную память, а электронную историю болезни заполняют при выписке пациента.
Вы забываете о подсистемах мис - пулп учёт лекарственных препаратов и анализы. Целостность анализов, если они заполнены в электронном виде критически важна! У вас сахар 40 а злоумышленники сделали 4,7 например. Или врач сделал назначение 1 таблетка капотена а в системе у сестры 1 грамм.
источник

AP

Aleksandr Petuhov in КИИ 187-ФЗ
Dmitry Kuznetsov
Так вас же не просто так спросили, кем подписано письмо. Если такое скажет Лютиков - можно считать, что он озвучивает мнение всего ведомства. Кубарев? Тоже авторитетное мнение, но уже не столь весомое. Неизвестный сотрудник пятого отдела? А его кто-то уполномочивал давать трактовку норме закона?
вы думаете какой-то Неизвестный сотрудник пятого отдела будет в ответе будет высказывать только свою точку зрения? вы плохо знаете работу этих ведомств)))
источник

AP

Aleksandr Petuhov in КИИ 187-ФЗ
а впрочем я информацию дал, а дальше каждый решает сам
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Alex Ivanov
Вы забываете о подсистемах мис - пулп учёт лекарственных препаратов и анализы. Целостность анализов, если они заполнены в электронном виде критически важна! У вас сахар 40 а злоумышленники сделали 4,7 например. Или врач сделал назначение 1 таблетка капотена а в системе у сестры 1 грамм.
Еще раз: надо плясать от процессов. Если лечебное учреждение  в своих процессаах ориентируется на электронный документоборот, то оно - само себе злобный Буратино. В тех лечебных учреждениях, с деятельностью которых я знаком, и лечащий врач, и аптека, и лаборатория вносят данные в МИС постфактум, по принуципу "нам не надо, но раз заставляете - будет делать".
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Aleksandr Petuhov
вы думаете какой-то Неизвестный сотрудник пятого отдела будет в ответе будет высказывать только свою точку зрения? вы плохо знаете работу этих ведомств)))
Я очень хорошо знаю, как именно должен выглядеть ответ ведомства и кем он должен подписываться. В данном случае это ничего не значащее мнение неивестного сотрудника, к тому же противоречащее закону. Вы можете им руководствоваться, но в случае проблем сослаться на ФСТЭК вы не сможете
источник

D

Denis in КИИ 187-ФЗ
попробуйте не упираться в слова и трактовки, а посчитать варианты и последствия:
1. Субъект работает в сфере и у него есть системы, функционирующие в области - конфликтов никаких нет
2. Субъект работает в сфере, но систем, функционирующих в области нет. Маловероятно, но допустим. В таком случае
по первому варианту трактовки он скажет, что он не субъект и данные о системах не подаст
по сторому варианту он признает себя субъектом... но данные о системах опять не подаст, раз их нет.
Опять конфликтов нет
3. Субъект не работает в соответствующей сфере, но системы есть из указанных областей.
в первом варианте он признает себя субъектом, проводит категорирование по процедуре и подает данные, если окажется, что процессы есть критические и соответствующий ущерт по 127ПП
по второму варианту получится, что он не субъект и делать ничего не будет.

При принятии одной трактовки ФСТЭК может максимум сказать "не, вы не субъект, не надо", а при втором варианте возможно развитие событий с инцидентами, разбирательством и привлечением к ответственности за невыполнение.
Вам действительно нужны еще какие-то доводы и ответы ФСТЭК?
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Denis
попробуйте не упираться в слова и трактовки, а посчитать варианты и последствия:
1. Субъект работает в сфере и у него есть системы, функционирующие в области - конфликтов никаких нет
2. Субъект работает в сфере, но систем, функционирующих в области нет. Маловероятно, но допустим. В таком случае
по первому варианту трактовки он скажет, что он не субъект и данные о системах не подаст
по сторому варианту он признает себя субъектом... но данные о системах опять не подаст, раз их нет.
Опять конфликтов нет
3. Субъект не работает в соответствующей сфере, но системы есть из указанных областей.
в первом варианте он признает себя субъектом, проводит категорирование по процедуре и подает данные, если окажется, что процессы есть критические и соответствующий ущерт по 127ПП
по второму варианту получится, что он не субъект и делать ничего не будет.

При принятии одной трактовки ФСТЭК может максимум сказать "не, вы не субъект, не надо", а при втором варианте возможно развитие событий с инцидентами, разбирательством и привлечением к ответственности за невыполнение.
Вам действительно нужны еще какие-то доводы и ответы ФСТЭК?
Неистово рукопожимаю :)
Я тоже не ради буквоедства спорю - просто представляю, что скажет прокурор в случае инцидента
источник

D

Denis in КИИ 187-ФЗ
Dmitry Kuznetsov
Еще раз: надо плясать от процессов. Если лечебное учреждение  в своих процессаах ориентируется на электронный документоборот, то оно - само себе злобный Буратино. В тех лечебных учреждениях, с деятельностью которых я знаком, и лечащий врач, и аптека, и лаборатория вносят данные в МИС постфактум, по принуципу "нам не надо, но раз заставляете - будет делать".
вы пытаетесь обосновать свою точку зрения, приводя частные примеры, которые ее подкрепляют. Не надо так. Нужно искать примеры, опровергающие обратную точку зрения - тогда, откинув все альтернативы, можно будет иметь некоторое подтверждение.
А так я приведу обратный пример, что сам хожу в 2 заведения лечебных и у них бумаги нет от слова совсем - все в ИС. Это слабое свидетельство моей позиции (что нарушение КЦД данных нужно учитывать для КИИ), но зато сильное свидетельство против вашей позиции, что это не критично и учитывать не нужно.
источник

D

Denis in КИИ 187-ФЗ
вообще с медициной сложно, особенно тем, кто сам не погружен глубоко в эту сферу (я вот нет, поэтому настаивать даже не пытаюсь). Поэтому очень хорошо было бы как-то заручиться поддержкой Минздрава и разъяснениями, что ли.
Еще были сообщения ранее про то что считается медицинскими ИС, а что нет - от этого в теории можно плясать, а с другой стороны в 187-ФЗ не сказано же ничего про этот тип ИС конкретно. Это как с транспортом - есть автоматизируемые объекты транспортной инфраструктуры по ФЗ о Транспортной безопасности и в теории надо привязываться к ним, а получается, что ИС, функционирующие в области транспорта шире
источник