S
Павел Луцик
Вот от кого стоит ждать методики.
Слишком долго ждать. Методику по мерам давно обещали
Size: a a a
2018 October 31
Д
Слишком долго ждать. Методику по мерам давно обещали
Действующая методика по (Г) ИС пока что может и должна изучаться. Она все равно обязана быть задействована в большинстве случаев
И
Павел Луцик
Вот от кого стоит ждать методики.
Павел, это конечно понятно, что регулятор что-то разрабатывает и возможно скоро опубликует, но опять же универсального сделать невозможно, регулятор всего знать то и не может, тем более в частности покаждой из сфер - главное в методтиках опыт вкаждом конкретном случае или сфере.
И коллеги, меня немного поражает тот факт, что часть НПА до сих пор не выпущены, хоть о них и говорят регуляторы, но требования законов то уже идут - сроки никто не отменял! )))
И коллеги, меня немного поражает тот факт, что часть НПА до сих пор не выпущены, хоть о них и говорят регуляторы, но требования законов то уже идут - сроки никто не отменял! )))
S
Иван
Павел, это конечно понятно, что регулятор что-то разрабатывает и возможно скоро опубликует, но опять же универсального сделать невозможно, регулятор всего знать то и не может, тем более в частности покаждой из сфер - главное в методтиках опыт вкаждом конкретном случае или сфере.
И коллеги, меня немного поражает тот факт, что часть НПА до сих пор не выпущены, хоть о них и говорят регуляторы, но требования законов то уже идут - сроки никто не отменял! )))
И коллеги, меня немного поражает тот факт, что часть НПА до сих пор не выпущены, хоть о них и говорят регуляторы, но требования законов то уже идут - сроки никто не отменял! )))
Очень много «поражающих» факторов)
И
Очень много «поражающих» факторов)
Именно, поэтому каждая сфера - это "своя" методика, даже быть точнее каждый субъект-уникален (грубо если)! )))
MK
Этот вопрос уже обсуждался, но я до конца не смог разобраться. Ситуация следующая: мы банк (юридическое лицо), а следовательно являемся субъектом КИИ. Однако мы точно знаем, к нас нет инфраструктуры, которой мог бы быть присвоен какой-либо уровень значимости. Обязательно ли для нас все равно собирать список процессов, ставить с соответствие им инфраструктуру, проводить оценку и заключать, что такой инфраструктуры нет?
Насколько я понял ФСТЭК в таком случае не нужно ничего сообщать, но будет ли с этим ок отраслевой регулятор - ЦБ?
Насколько я понял ФСТЭК в таком случае не нужно ничего сообщать, но будет ли с этим ок отраслевой регулятор - ЦБ?
PK
Этот вопрос уже обсуждался, но я до конца не смог разобраться. Ситуация следующая: мы банк (юридическое лицо), а следовательно являемся субъектом КИИ. Однако мы точно знаем, к нас нет инфраструктуры, которой мог бы быть присвоен какой-либо уровень значимости. Обязательно ли для нас все равно собирать список процессов, ставить с соответствие им инфраструктуру, проводить оценку и заключать, что такой инфраструктуры нет?
Насколько я понял ФСТЭК в таком случае не нужно ничего сообщать, но будет ли с этим ок отраслевой регулятор - ЦБ?
Насколько я понял ФСТЭК в таком случае не нужно ничего сообщать, но будет ли с этим ок отраслевой регулятор - ЦБ?
Вообще да, просто по итогам категорировпния вы пишете, что значимых объектов кии у вас нет
A
Этот вопрос уже обсуждался, но я до конца не смог разобраться. Ситуация следующая: мы банк (юридическое лицо), а следовательно являемся субъектом КИИ. Однако мы точно знаем, к нас нет инфраструктуры, которой мог бы быть присвоен какой-либо уровень значимости. Обязательно ли для нас все равно собирать список процессов, ставить с соответствие им инфраструктуру, проводить оценку и заключать, что такой инфраструктуры нет?
Насколько я понял ФСТЭК в таком случае не нужно ничего сообщать, но будет ли с этим ок отраслевой регулятор - ЦБ?
Насколько я понял ФСТЭК в таком случае не нужно ничего сообщать, но будет ли с этим ок отраслевой регулятор - ЦБ?
Да, Вам надо будет проделать весь процесс категорирования, но по итогам установить, что категории нет.
MK
В таком случае сначала нужно будет согласовать список всей КИИ с ЦБ, потом задокументировать, что категорий значимости ни у какой инфраструктуры нет, и ФСТЭК уже ничего вообще не писать?
A
Добрый день. Подскажите, пожалуйста, планируется ли возможность импорта данных в систему? Или придется каждое учреждение вбивать вручную?
A
В таком случае сначала нужно будет согласовать список всей КИИ с ЦБ, потом задокументировать, что категорий значимости ни у какой инфраструктуры нет, и ФСТЭК уже ничего вообще не писать?
В общем случае субъекту необходимо подготовить перечень ОКИИ, подлежащих категорированию, отправить его в ЦА ФСТЭК, провести категорирование, составить Акт категорирования, заполнить форму из приказа ФСТЭК № 236, отправить эту заполненную форму в ЦА ФСТЭК. В этой форме субъект КИИ и указывает либо одну из установленных категорий, либо информацию об отсутствии необходимости присвоения категории.
MK
В общем случае субъекту необходимо подготовить перечень ОКИИ, подлежащих категорированию, отправить его в ЦА ФСТЭК, провести категорирование, составить Акт категорирования, заполнить форму из приказа ФСТЭК № 236, отправить эту заполненную форму в ЦА ФСТЭК. В этой форме субъект КИИ и указывает либо одну из установленных категорий, либо информацию об отсутствии необходимости присвоения категории.
Спасибо!
А
В таком случае сначала нужно будет согласовать список всей КИИ с ЦБ, потом задокументировать, что категорий значимости ни у какой инфраструктуры нет, и ФСТЭК уже ничего вообще не писать?
Или делаете акт и устанавливаете, что критических процессов нет.
A
Или делаете акт и устанавливаете, что критических процессов нет.
Да, что-то в этом роде тоже можно проделать. Документально оформить, что объектов КИИ отрабатывающих критические процессы нет, как следствие нет и ОКИИ, подлежащих категорированию, или документально оформить, что нет критических процессов.
На методическом сборе В. Лютиков озвучивал, что есть практика, когда потенциальные субъекты КИИ находят пути юридического выхода из под действия 187-ФЗ.
На методическом сборе В. Лютиков озвучивал, что есть практика, когда потенциальные субъекты КИИ находят пути юридического выхода из под действия 187-ФЗ.
SP
На мой взгляд, субъекта кии, не подавшего ни одного акта о категорировании можно смело записывать в список проверок регулятором
А
Да, что-то в этом роде тоже можно проделать. Документально оформить, что объектов КИИ отрабатывающих критические процессы нет, как следствие нет и ОКИИ, подлежащих категорированию, или документально оформить, что нет критических процессов.
На методическом сборе В. Лютиков озвучивал, что есть практика, когда потенциальные субъекты КИИ находят пути юридического выхода из под действия 187-ФЗ.
На методическом сборе В. Лютиков озвучивал, что есть практика, когда потенциальные субъекты КИИ находят пути юридического выхода из под действия 187-ФЗ.
Тут тонкий момент. Не выходим из действия фз.
Рассматриваем процессы, и комиссия подверждает, что компьютерные атаки на объекты кии, обеспечивающие эти процессы, не приводят к последствиям из ПП.
Как обоснование - можно использовать системы зашиты или резервирования, функционирующие на иных принципах (механических, орг.мерах, людских и тд).
Рассматриваем процессы, и комиссия подверждает, что компьютерные атаки на объекты кии, обеспечивающие эти процессы, не приводят к последствиям из ПП.
Как обоснование - можно использовать системы зашиты или резервирования, функционирующие на иных принципах (механических, орг.мерах, людских и тд).
SP
Просто по определению из ФЗ 187
A
Тут тонкий момент. Не выходим из действия фз.
Рассматриваем процессы, и комиссия подверждает, что компьютерные атаки на объекты кии, обеспечивающие эти процессы, не приводят к последствиям из ПП.
Как обоснование - можно использовать системы зашиты или резервирования, функционирующие на иных принципах (механических, орг.мерах, людских и тд).
Рассматриваем процессы, и комиссия подверждает, что компьютерные атаки на объекты кии, обеспечивающие эти процессы, не приводят к последствиям из ПП.
Как обоснование - можно использовать системы зашиты или резервирования, функционирующие на иных принципах (механических, орг.мерах, людских и тд).
Я это к тому, что кто-то из субъектов КИИ не направляет Перечня ОКИИ, подлежащих категорированию, но остаются под действием 187-ФЗ. Кто-то из субъектов, со слов Лютикова, прибегает к юридической магии, чтобы совсем выйти из 187-ФЗ.
GP
Спецы, подскажите такой момент, по поводу объектов критической информационной инфраструктуры...
Есть большой пласт облачных сервисов, с которыми работает наша организация, это и zakupki.gov, и ,bus.gov, госуслуги и.т.д, следует ли их включать в перечень объектов кии? И если включать то как их описывать? Доступ к ним через браузер, доки в системе подписываются эцп
Есть большой пласт облачных сервисов, с которыми работает наша организация, это и zakupki.gov, и ,bus.gov, госуслуги и.т.д, следует ли их включать в перечень объектов кии? И если включать то как их описывать? Доступ к ним через браузер, доки в системе подписываются эцп
А
Grigory Putintsev
Спецы, подскажите такой момент, по поводу объектов критической информационной инфраструктуры...
Есть большой пласт облачных сервисов, с которыми работает наша организация, это и zakupki.gov, и ,bus.gov, госуслуги и.т.д, следует ли их включать в перечень объектов кии? И если включать то как их описывать? Доступ к ним через браузер, доки в системе подписываются эцп
Есть большой пласт облачных сервисов, с которыми работает наша организация, это и zakupki.gov, и ,bus.gov, госуслуги и.т.д, следует ли их включать в перечень объектов кии? И если включать то как их описывать? Доступ к ним через браузер, доки в системе подписываются эцп
Не стоит, они не ваши