Аааа. Тогда упс. Ошибся

это для КИИ, НПА разрабатываются под конкретные статьи 187-ФЗ

есть еще доки, которые разработаны для субъектов  ГосСОПКА

во исполнение 620 указа президента

Спасибо

+ПП про сети электросвязи.

Тут вопрос дискуссионный. Тот же ручной режим работы, заменяющий работу ИС в случае выхода ее из строя, может рассматриваться в качестве неавтоматизированной части процесса. Ведь процесс не обязательно должен быть полностью автоматизирован. При таком подходе многие процессы могут не оказаться критическими. Но тут не совсем понятно как на такой подход посмотрит регулятор.

В данном контексте ФСТЭК принимает некомпьютеризированные, аналоговые, механические компенсирующие меры.

Павел, неоднократно этот вопрос в чате подымался. Скорее всего "ручной режим работы, заменяющий работу ИС в случае выхода ее из строя, может рассматриваться в качестве неавтоматизированной части процесса" должно говорить  "ручной режим работы, заменяющий работу ИС в случае выхода ее из строя, может рассматриваться в качестве неавтоматизированной АЛЬТЕРНАТИВЫ автоматизированного процесса". В этом случае процесс действительно НЕ критичен. Но если неавтоматизированная ЧАСТЬ процесса, то это не замена его полностью а только части, поэтому тут говорить что процесс стал НЕ критичным-не совсем корректно

Алексей, просьба пояснить подробнее, не совсем понятно ваше сообщение.

Про ручной режим работы бытует анекдот - на неком предприятии таки случилось все, что "не могло" случиться и остался только вариант ручного управления .. так в итоге не нашлось уже никого кто помнил бы как этим самым "ручным управлением" управлять )

Я к тому, что сейчас многие лихо снижают ущерб в том числе до 0, опираясь на то, что есть "ручной режим" .. а регламенты есть этих режимов? Персонал зарезервирован? Проводятся учения?

Согласен. Процесс может по прежнему остаться критическим, но в некоторых случаях процесс все таки может оказаться и не критическим, в случае, когда атаки на автоматизированную часть, которая не дублируется неавтоматизированной частью процесса, не приведут к ущербу по критериям 127-ПП.

Ну скажем так. Мы прогоняем некую АСУ через показатели критериев значимости.
Принимаем самый наихудший сценарий.
По словам Лютикова имеются субъекты, которые в этом деле говорят, что у них есть ПАЗы, резервирование и т.д., на что ФСТЭК парирует, что если это все (и многое другое) компьютеризированно, то при самом худшем сценарии эти резервные меры также будут выведены из строя, а значит они не учитываются. Однако если резервные меры имеют механическое, аналоговое или иное исполнение без компьютерного участия (т.е. реализация компьютерной атаки на ней в принципе невозможна), то такие меры без проблем можно учитывать, например, при расчете того или иного значения показателя критериев значимости.

Это да, тут я с Вами полностью солидарен. Хотелось бы отметить, что регулятор в данном случае ничего не должен сказать. Ведь, мы имеем полную замену существующего процесса альтернативой. Переход на альтернативу не влияет на процесс в целом, за исключением временной характеристики (попробуем ее опустить 😊 ). По всем критериям получаем не критичный объект, данных по нему нам и подавать не надо. Ведь регулятор может вернуть на доработку результат категорирования не на этапе определения списка, а на конечном этапе формирования документа. А раз этот объект не попадает в список, то и регулятору данные не попадут. Не думаю, что будет проблема. Если конечно будет грамотное обоснование действий комиссии

Это логично. Эту же позицию можно придерживаться и для формирования самого перечня как такового

Павел Луцик:
Хорошо, если регулятор такой подход принимает. В этом случае не нужно изголяться (рассматривать автоматизированные, неавтоматизированные части) над процессами, а сосредоточиться на снижении категорий ОКИИ за счёт максимального учитывания механических компенсирующих мер при определении категорий значимости.

Павел, но это правильный подход. Мы же изучаем наши процессы именно с этой точки зрения, мы должны учитывать если не все,но хоть максимально все. Иначе мы получим не полную картину. Вот это хуже.

Согласен. И радует, что регулятор тоже это понимает.