DK
Иван
А это по Вашему не контроль со стороны регулятора?! Я о том и говорю, что "показушные" центры просто так не создадутся.
Так я и начал с того, что не понял, что вы хотели сказать :) После этого пояснения - да, согласен
Size: a a a
2018 October 17
2018 October 18
СП
как ФСТЭК или нкцки узнает что у меня случилась компьютерная атака, они же наказывают за не предпринятые меры защиты на кии, но если никто не узнает и атака будет отражена или функционирование будет восстановлено собственными силами и средствами, например, в течении суток и если это даже на что-то повлияет , то останется секретом в рамках организации
S
как ФСТЭК или нкцки узнает что у меня случилась компьютерная атака, они же наказывают за не предпринятые меры защиты на кии, но если никто не узнает и атака будет отражена или функционирование будет восстановлено собственными силами и средствами, например, в течении суток и если это даже на что-то повлияет , то останется секретом в рамках организации
1. Средства ППКА в сетях электросвязи 2. Утечки в СМИ
И
1. Средства ППКА в сетях электросвязи 2. Утечки в СМИ
Тут интересный момент. Субъект закладывал при категорировании показатель при котором ущерб наступает, например при простое в 10 часов. Это для субъекта критично. Но наступет инцидент. Проблему решили, положим, за 2 часа. По факту - Инцидент имеется. Но по критериям для этого субъекта это не критично (ведь и информацию о категорировании он подавал опираясь на критичность для себя). В этом случае как, подавать информацию или нет?
DK
Иван
Тут интересный момент. Субъект закладывал при категорировании показатель при котором ущерб наступает, например при простое в 10 часов. Это для субъекта критично. Но наступет инцидент. Проблему решили, положим, за 2 часа. По факту - Инцидент имеется. Но по критериям для этого субъекта это не критично (ведь и информацию о категорировании он подавал опираясь на критичность для себя). В этом случае как, подавать информацию или нет?
То, о чем вы говорите - это негативные последствия, которые могут наступить в результате инцидента. А инцидент - это сам факт нарушения или прекращения функционирования объекта.
В вашем примере инцидент (простой в течение 2 часов) был, но благодаря оперативному реагированию (справились менее чем за 10 часов) негативных последствий удалось избежать. Но инцидент все равно был, и о нем нужно сообшить
В вашем примере инцидент (простой в течение 2 часов) был, но благодаря оперативному реагированию (справились менее чем за 10 часов) негативных последствий удалось избежать. Но инцидент все равно был, и о нем нужно сообшить
И
То, о чем вы говорите - это негативные последствия, которые могут наступить в результате инцидента. А инцидент - это сам факт нарушения или прекращения функционирования объекта.
В вашем примере инцидент (простой в течение 2 часов) был, но благодаря оперативному реагированию (справились менее чем за 10 часов) негативных последствий удалось избежать. Но инцидент все равно был, и о нем нужно сообшить
В вашем примере инцидент (простой в течение 2 часов) был, но благодаря оперативному реагированию (справились менее чем за 10 часов) негативных последствий удалось избежать. Но инцидент все равно был, и о нем нужно сообшить
То есть, получается, в независимости от степени последствий наступивших в результате инцидента, о самом факте инцидента сообщать нужно всегда?
Я еще регулятору этот вопрос не задавал, но я предположил, что критерии оценки из 127 пп могут использоваться не только для присвоения той или иной категории значимости, но и для "фильтра" в будущем критичных и нет для субъекта инцидентов, точнее тех, которые могут привести к последствиям (негативным - значимым или НЕзначимым). Ведь категория присваивается на основании значимости последствий, которые могут наступить при возникновении инцидента. Если субъект оценил для себя последствия и возникновении того или иного инцидента не повлекут за собой тех последствий, которые он предположил, то для него этот инцидент не значим. То что инцидент наступил, да. Но если подавать информацию о всех инцидентах, даже самых незначительных, не кажется ли Вам, что это будет "спам" на регулятора?!
Я еще регулятору этот вопрос не задавал, но я предположил, что критерии оценки из 127 пп могут использоваться не только для присвоения той или иной категории значимости, но и для "фильтра" в будущем критичных и нет для субъекта инцидентов, точнее тех, которые могут привести к последствиям (негативным - значимым или НЕзначимым). Ведь категория присваивается на основании значимости последствий, которые могут наступить при возникновении инцидента. Если субъект оценил для себя последствия и возникновении того или иного инцидента не повлекут за собой тех последствий, которые он предположил, то для него этот инцидент не значим. То что инцидент наступил, да. Но если подавать информацию о всех инцидентах, даже самых незначительных, не кажется ли Вам, что это будет "спам" на регулятора?!
DK
Иван
То есть, получается, в независимости от степени последствий наступивших в результате инцидента, о самом факте инцидента сообщать нужно всегда?
Я еще регулятору этот вопрос не задавал, но я предположил, что критерии оценки из 127 пп могут использоваться не только для присвоения той или иной категории значимости, но и для "фильтра" в будущем критичных и нет для субъекта инцидентов, точнее тех, которые могут привести к последствиям (негативным - значимым или НЕзначимым). Ведь категория присваивается на основании значимости последствий, которые могут наступить при возникновении инцидента. Если субъект оценил для себя последствия и возникновении того или иного инцидента не повлекут за собой тех последствий, которые он предположил, то для него этот инцидент не значим. То что инцидент наступил, да. Но если подавать информацию о всех инцидентах, даже самых незначительных, не кажется ли Вам, что это будет "спам" на регулятора?!
Я еще регулятору этот вопрос не задавал, но я предположил, что критерии оценки из 127 пп могут использоваться не только для присвоения той или иной категории значимости, но и для "фильтра" в будущем критичных и нет для субъекта инцидентов, точнее тех, которые могут привести к последствиям (негативным - значимым или НЕзначимым). Ведь категория присваивается на основании значимости последствий, которые могут наступить при возникновении инцидента. Если субъект оценил для себя последствия и возникновении того или иного инцидента не повлекут за собой тех последствий, которые он предположил, то для него этот инцидент не значим. То что инцидент наступил, да. Но если подавать информацию о всех инцидентах, даже самых незначительных, не кажется ли Вам, что это будет "спам" на регулятора?!
Объект ГосСОПКА - не только "ценный мех", но и "полнофункциональный ханипот" :) Возможно, что прямо сейчас тот же самый нарушитель проводит точно такую же атаку на вашего соседа. Сообщив об инциденте, вы предупреждаете НКЦКИ и даете парням возможность вмешаться сейчас, а не после инцидента.
Поэтому вы обязаны сообщить об инциденте, а чтр парни будут с этим сообщением делать - это их забота
Поэтому вы обязаны сообщить об инциденте, а чтр парни будут с этим сообщением делать - это их забота
D
Иван
То есть, получается, в независимости от степени последствий наступивших в результате инцидента, о самом факте инцидента сообщать нужно всегда?
Я еще регулятору этот вопрос не задавал, но я предположил, что критерии оценки из 127 пп могут использоваться не только для присвоения той или иной категории значимости, но и для "фильтра" в будущем критичных и нет для субъекта инцидентов, точнее тех, которые могут привести к последствиям (негативным - значимым или НЕзначимым). Ведь категория присваивается на основании значимости последствий, которые могут наступить при возникновении инцидента. Если субъект оценил для себя последствия и возникновении того или иного инцидента не повлекут за собой тех последствий, которые он предположил, то для него этот инцидент не значим. То что инцидент наступил, да. Но если подавать информацию о всех инцидентах, даже самых незначительных, не кажется ли Вам, что это будет "спам" на регулятора?!
Я еще регулятору этот вопрос не задавал, но я предположил, что критерии оценки из 127 пп могут использоваться не только для присвоения той или иной категории значимости, но и для "фильтра" в будущем критичных и нет для субъекта инцидентов, точнее тех, которые могут привести к последствиям (негативным - значимым или НЕзначимым). Ведь категория присваивается на основании значимости последствий, которые могут наступить при возникновении инцидента. Если субъект оценил для себя последствия и возникновении того или иного инцидента не повлекут за собой тех последствий, которые он предположил, то для него этот инцидент не значим. То что инцидент наступил, да. Но если подавать информацию о всех инцидентах, даже самых незначительных, не кажется ли Вам, что это будет "спам" на регулятора?!
оцениваемый вами как "незначимый" инцидент может оказаться подготовкой к вполне реальной атаке с критичными последствиями.
И
Так то оно так, но все же я считаю что фильтр должен быть. Ну например. Одним из требований по обеспечению безопасности являются требования к защите обеспечвающей инфраструктуры. Кто-то рубанул рубильник или перерезал провод. Инцидент! Но причина, по которой он мог произойти не обязательно должна быть умышленной! Ремонтные работы или авария. Не факт что это "подготовка". Я о таких ситуациях имел в виду
AL
У ФСТЭК есть мнение, что ущерб/инцидент должен быть от умышленных действий
T
Alexey Lukatsky
У ФСТЭК есть мнение, что ущерб/инцидент должен быть от умышленных действий
умысел еще надо доказать. т.е инцидент произошел, субъект его зафиксировал, время пошло - 24 часа. А на определения умысла может уйти много времени.
Д
Доказать надо что была компьютерная атака, а это не особо сложно. Атака всегда умышлена и злонамерена
VV
Доказать надо что была компьютерная атака, а это не особо сложно. Атака всегда умышлена и злонамерена
Не только компьютерная атака. компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки
VV
"В том числе", не исключительно
Д
А в статье 1 187-ФЗ ничего не говорится о инцидентах
VV
Я оттуда процитировал. Статья 2
Д
Я оттуда процитировал. Статья 2
Я знаю... Я специально обратил внимание на 1 статью, где четко сказано, что только при проведении компьютерных атак. То есть речь об инцидентах возникших в рамках атаки
T
Так всеже о чем необходимо сообщать об атаках или и об инцидентах, которые не всегда умышленны
VV
Об инцидентах
Д
Думаю об инцидентах не являющихся атаками нужно уведомлять ФСТЭК, а об атаках ФСБ