Так вот если и строить SoC нужно четко понимать на какой тип нарушителя мы ориентируемся, потому что подходы совершенно разные, более того разные вычислительные мощности оборудования которые будут предоствращать атаки. Если мы говорим об атаках извне, то мы имеем чаще всего набор неких сервисов, на уявзимость которых и нужно контролировать объект и это не тоже самое что контролировать потоки информации внутри системы, ибо там сервисов и уязвимостей гораздо больше, к тому же там существенное значение имеют оргмероприятия

Эта древность действовала вместе с двумя другими, ныне отмененными, документами по ПД. С тех пор уже и 58 приказ успели принять и отменить, и 21 приказ принять. Ее РАЗРЕШЕНО применять по решению оператора системы, но нигде не сказано, что ей НУЖНО руководствоваться. Но я бы не советовал ввиду ее неадекватности

17, 21 и 31 приказы абсолютно адекватны. В совокупност с методичкой по мерам защиты в ГИС. Кроме того есть требования по аттестации а 17 приказе, а в 239 нет.

И где в упомянутых четырех документах говорится про невозможность атаки со стороны самостоятельного внутреннего нарушителя? :)

Говорится как раз.. я  ктому что внешний и внутренний нарушитель, суть разные вещи и возможности. И методы защиты разные. Госсопка вот против какого вида нарушителя направлена?

Это не важно. Сам факт нарушения. Как внутренний так и внешний. Угроза.

Она направлена против компьютерных атак со стороны любого нарушителя. Вы можете с этим не соглашаться, но это просто факт.

Просто вы так уверенно написали, что это написано в документах про КИИ, что я на минутку малодушно усомнился в своей памяти :)

Это очень важно... потому что внешний нарушитель это 5-6 опубликованных серивсов присущих конркетному процессу и именно их и нужно контролировать. В ы IDS если поставите перед МЭ, получите 1000 атак в день, причем на сервисы которых у вас и нет в системе, а если в периметре после МЭ, то получите уже адекватную картину. Отсюда вопрос в Госсопку вы что будете передавать? весь мусорный трафик инета?

В общем я к тому, что отправная точка в кии - это атака и её сценарий, на совершенно конкретном объекте

В ГосСОПКА передается информация об инциденте, включая ту техническую информацию, которая относится к инциденту. Это может быть информация о срабатывании сигнатур IDS, это может быть сэмпл трафика, это может быть выгрузка событий из SIEM. Что именно передавать, решает субъект КИИ или обсдуживающий его центр ГосСОПКА.

Я как раз и говорю, что отправлять ВСЕ не совсем корректно. Надо иметь фильтрацию тех инцидентов, которые происходят на объектах субъекта. И, рас субъект произвел оценку по критериям опираясь не на то, что может быть у кого-то, возникни инцедент подобного характера, а опираясь именно на то, как этот инцидент повлияет конкретно на субъект. То что у субъекта, это не критично, может быть критично для кого-то, это да. Но тогда этот кто-то должен предусмотреть этот вариант развития именно на своих объектах.

Коллеги, а с точки зрения ФЗ какое будет самое полное и точное определение понятия ГИС, в рамках процесса категорирования ? От этого понимания зависит будет ли наша МО отнесена к соответствующему списку со всеми вытекающими последствиями либо нет.
Спасибо.

Вот главное или субъект или центр. Главнее центр. Тогда в этом случае мнение субъекта не нужно. Так получается?!

Это в пересчете на деньги нереально дорого, передавать информацию просто об инциденте, потму что от архитектры ИС зависят ложно-положительные срабатывания и если внешний нарушитель это 5-6 сервисов, то внутреннний это 20, это разные сигнатурные базы, разное оборудование

Дорого - это не забота регулятора

Но это забота проф.сообщества

То что передавать нужно информацию как о внешних так и о внутренних инцидентах - тут спору нет. Нужно. "ложно-положительные" - это нужно уметь фильтровать. Я об этом  и говорю.

И? Мнение сообщества окажет на них хоть малейшее влияние?

Уверен, что да. От подхода зависит. Потому что невыполнимая задача=необязательная задача. Для многих владельцев КИИ, нереально при существующей архитектуре ИС реализовать все требования регулятора

1. Не "главнее", а "компетентнее" :) По методическим рекомендациям центр ГосСОПКа, сталкиваясь с инцидентами у своих подопечных, должен со временем выделять типовые, повторяющиеся инциденты и для них делать типовые сценарии реагирования. Типовой сценарий реагирования включает в себя и то, какую информацию нужно включать в карточку инцидента.

Если инциент вызван вирусной атакой, то берется образец вируса и, может быть, вердикты антиввирусных средств, его детекстящих. Если DDoS, то сэмпл трафика - но не весь трафик, а только "атакующие" сессии, чтобы можно было идентифицировать IP-адреса атакующих узлов.

Но это - обязаность центра ГосСОПКА. Если центр ГосСОПКА еще не сталкивался с подобными инцидентами и не знает, какая информация будет полезной, или если это делает сам субъект (который имеет полное право быть совершенно некомпетентным в вопросах реагирования на атаки), то сообщается только основная информация об инциденте.

2. И опять же, тут путаница понятий "атака"  и "инцидент". Центр ГосСОПКА может (или обязан, если того требует соглашение с НКЦКИ) информировать ФСБ и об атаках тоже. Не обо всех атаках, но об атаках, несущих, по мнению центра, реальную угрозу.

Субъект КИИ не обязан уметь разбираться в сортах... В атаказю Все, что от него требуется - столкнулся с инцидентам (т.е. когда нарушена работа защирщаемой системы) - сообщи. Об атаках он сообющать не обязан вообще.