Size: a a a

2018 October 26

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Ivan
Вот тут самое неприятное и не понятное. Как регулятор разбирается и будет разбираться в том, что ему поступает?! Да еще и если учитывать тот факт, что позиция не всегда одна по одному и тому же вопросу.
А он не должен разбираться в этом. Регулятор только щадает требования безопасности. Разбираются владелец объекта и прокуратура.
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Alexey G
А если рванет в юрисдикции другого государства это будет попадать под 187ФЗ?
Это невозможно. Морские и воздушные суда - экстерриториальное недвижимое имущество. На борту судна действует законодательство страны приписки.
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Alexander Gryankin
Почему только из внешних сетей? Злоумышленник может вступить в сговор с кем-то из персонала судна, который обеспечит уже лазейку из вне.
Потому что у коллеги на этом пунктик
источник

Д

Дима Шахов in КИИ 187-ФЗ
Dmitry Kuznetsov
Потому что у коллеги на этом пунктик
А пунктик потому что вопросы противодействия внутреннему нарушителю давно изучены и прописаны и решаются режимом, госсопке ничего нового не дадут... Точнее дадут но только по результатам расследования инцидента.
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Дима Шахов
А пунктик потому что вопросы противодействия внутреннему нарушителю давно изучены и прописаны и решаются режимом, госсопке ничего нового не дадут... Точнее дадут но только по результатам расследования инцидента.
Это не так. "Изучены" и "прописаны" методы обеспечения конфиденциальности в тепличных условиях ЗГТ. Они и в случае ЗГТ ни фига не работают, а уж в контексте  коммерческих компаний с  отсутствующей контролируемой зоной и вынужденными компромиссами между  защитой и юзабилити, этот совсем несерьезный разговор
источник

И

Иван in КИИ 187-ФЗ
Dmitry Kuznetsov
А он не должен разбираться в этом. Регулятор только щадает требования безопасности. Разбираются владелец объекта и прокуратура.
Коллега, я с Вами отчасти согласен. Но регуятор будет направлять нам, в ответ на присланные документы о категорировании окии, свои резолюции, говорящие о том, верно или нет мы все выполнили и корректно ли мы все им предоставили. И если что-то "не так" - нам так же об этом должны сообщить. Не понятен именно этот аспект. Регулятор не должен разбираться, это да (систем много, сфер много, функционал и направленность той или иной системы - тоже одним словом не описать и под одно определение не подогнать-есть подводные камни, узкоспецифические моменты и т.д.) ,но как он сделает вывод что  что-то "не так"?!
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Иван
Коллега, я с Вами отчасти согласен. Но регуятор будет направлять нам, в ответ на присланные документы о категорировании окии, свои резолюции, говорящие о том, верно или нет мы все выполнили и корректно ли мы все им предоставили. И если что-то "не так" - нам так же об этом должны сообщить. Не понятен именно этот аспект. Регулятор не должен разбираться, это да (систем много, сфер много, функционал и направленность той или иной системы - тоже одним словом не описать и под одно определение не подогнать-есть подводные камни, узкоспецифические моменты и т.д.) ,но как он сделает вывод что  что-то "не так"?!
Я это и имею в виду. ФСТЭК может ответить "так" или "не так" только на два вопроса:
1. Правильно ли вы применили к объекту критерии категорировпнич
2. Правильно ли вы поняли и применили требования приказа ФСТЭК.

Но, например, ФСТЭК не уполномочена отвечать на вопрос "является ли вот такая ИС объектом КИИ". Парни стараются отвечать, но эти ответы, но эти ответы ввходят за рамки их полномочий
источник

И

Иван in КИИ 187-ФЗ
Dmitry Kuznetsov
Я это и имею в виду. ФСТЭК может ответить "так" или "не так" только на два вопроса:
1. Правильно ли вы применили к объекту критерии категорировпнич
2. Правильно ли вы поняли и применили требования приказа ФСТЭК.

Но, например, ФСТЭК не уполномочена отвечать на вопрос "является ли вот такая ИС объектом КИИ". Парни стараются отвечать, но эти ответы, но эти ответы ввходят за рамки их полномочий
Является или нет-это личная забота каждого, с этим согласен. Это конечно не всегда просто корректно определить, но всеже. Отчасти для этого мы все здесь и собрались.

Я именно об этом пункте и говорю 1. Правильно ли вы применили к объекту критерии категорировпния. Как он может  это определить? Ведь специфику объекта он не знает
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Иван
Является или нет-это личная забота каждого, с этим согласен. Это конечно не всегда просто корректно определить, но всеже. Отчасти для этого мы все здесь и собрались.

Я именно об этом пункте и говорю 1. Правильно ли вы применили к объекту критерии категорировпния. Как он может  это определить? Ведь специфику объекта он не знает
Я некорректно сформулировал п. 1. По этому пункту они могут ответить только "в решении субъекта нет очевидных ошибок" :)

Т.е. регулятор - не арбитр. Он может сказать, что что-то сделано неправильно, но отсутствие замечаний со стороны регулятора еще не означает, что ошибок нет. В этом смысле "не должны разбираться".

Это как с ГИБДД. Техосмотр выявляет только очевидные нарушения, и наличие талона техосмотра не означает, что автомобиль исправен.
источник

И

Иван in КИИ 187-ФЗ
Dmitry Kuznetsov
Я некорректно сформулировал п. 1. По этому пункту они могут ответить только "в решении субъекта нет очевидных ошибок" :)

Т.е. регулятор - не арбитр. Он может сказать, что что-то сделано неправильно, но отсутствие замечаний со стороны регулятора еще не означает, что ошибок нет. В этом смысле "не должны разбираться".

Это как с ГИБДД. Техосмотр выявляет только очевидные нарушения, и наличие талона техосмотра не означает, что автомобиль исправен.
Теперь понятно, Дмитрий,что  Вы имели в виду. Тут я согласен. Но в определенной своей массе,конечно, вопрос остается открытым.
источник

А@

АльбертОвич @Sitnoff in КИИ 187-ФЗ
Иван
Является или нет-это личная забота каждого, с этим согласен. Это конечно не всегда просто корректно определить, но всеже. Отчасти для этого мы все здесь и собрались.

Я именно об этом пункте и говорю 1. Правильно ли вы применили к объекту критерии категорировпния. Как он может  это определить? Ведь специфику объекта он не знает
А вот на все эти вопросы в случае срабатывания риска ответит суд.
источник

И

Иван in КИИ 187-ФЗ
АльбертОвич @Sitnoff
А вот на все эти вопросы в случае срабатывания риска ответит суд.
Так вот в том то и самая важная "задача" этого чата, получить четкий понятийный аппарат, который позволит как самому понять тонкости,   так и донести это понимание до коллег/руководства и хотя бы не избежать риски, но максимально их минимизировать. И по возможности избежать дальнейшего развития ситуации (серьезных последствий, суда и прочего)
источник

А@

АльбертОвич @Sitnoff in КИИ 187-ФЗ
Иван
Так вот в том то и самая важная "задача" этого чата, получить четкий понятийный аппарат, который позволит как самому понять тонкости,   так и донести это понимание до коллег/руководства и хотя бы не избежать риски, но максимально их минимизировать. И по возможности избежать дальнейшего развития ситуации (серьезных последствий, суда и прочего)
А FAQ чата на эту тему уже есть где-нибудь?
источник

И

Иван in КИИ 187-ФЗ
АльбертОвич @Sitnoff
А FAQ чата на эту тему уже есть где-нибудь?
Вы имеете в виду что? Какие-то общие сформированные и  структурированные по тем или иным категориям решения? Сам чат и есть FAQ, а все остальное -каждый выбирает для себя.
источник

ПЛ

Павел Луцик in КИИ 187-ФЗ
АльбертОвич @Sitnoff
А FAQ чата на эту тему уже есть где-нибудь?
У кого есть возможность пишет посты в своих блогах, в том числе на основании обсуждений в этом чате. У Алексея Комарова в блоге есть ссылки на остальные блоги по теме КИИ. Единого FAQ по этому чату нет.
источник

S

SeRG in КИИ 187-ФЗ
Павел Луцик
У кого есть возможность пишет посты в своих блогах, в том числе на основании обсуждений в этом чате. У Алексея Комарова в блоге есть ссылки на остальные блоги по теме КИИ. Единого FAQ по этому чату нет.
пора вводить хэштеги)
источник

A

Anton in КИИ 187-ФЗ
КИИ (банковская сфера) регламентируется

информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;

Требуется ли для передачи категорирование своих инцидентов согласно категориям и типам НКЦКИ?
источник

A

Anton in КИИ 187-ФЗ
до КИИ формировали инциденты (категории) согласно СТО БР ИББС
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Anton
до КИИ формировали инциденты (категории) согласно СТО БР ИББС
Пока нет, ФинЦЕРТ - это не ГосСОПКА. Поэтому у ЦБ могут быть свои требования по форме сообщения об инциденте
источник

ПЛ

Павел Луцик in КИИ 187-ФЗ
Anton
КИИ (банковская сфера) регламентируется

информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;

Требуется ли для передачи категорирование своих инцидентов согласно категориям и типам НКЦКИ?
Возможно Банкам и не придется ничего передавать в ГосСОПКА (либо только по значимым ОКИИ), а только в Финцерт. Была информация о том, что этот вопрос сейчас обсуждается между ФСБ и ЦБ.
источник