AK
Size: a a a
2018 November 09
A
Встреча с ФСТЭК по вопросам безопасности КИИ http://bit.ly/2JQmTCJ
Первый пошёл :) спасибо!
A
Коллеги, а что же такое экономический критерий? Писали письмо во фстэк - тишина. Это недоплата по налогам или что-то иное?
AL
Коллеги, а что же такое экономический критерий? Писали письмо во фстэк - тишина. Это недоплата по налогам или что-то иное?
В том числе
AP
Иван
Вспоминаем ответ в эл почте одного из коллег. Помните... этот вопрос один из самых дискутируемых.
Коллеги вспоминаем переписку от 12 октября. Кто то хотел услышать официальный ответ. Я думаю он получен.
И
Коллеги вспоминаем переписку от 12 октября. Кто то хотел услышать официальный ответ. Я думаю он получен.
Это не официальный ответ, а точка зрения ФСТЭК. Это немного разные вещи
AP
Иван
Как НЕ специалист может выявить такие признаки?!
да там есть специалисты, которые могут выявить
AP
Иван
Это не официальный ответ, а точка зрения ФСТЭК. Это немного разные вещи
опять спор?) читайте переписку. прошлый раз меня уверяли, что если бы Лютиков такое сказал, то... Зачем всьупать в спор ради спора)
И
опять спор?) читайте переписку. прошлый раз меня уверяли, что если бы Лютиков такое сказал, то... Зачем всьупать в спор ради спора)
Я не вступаю. Зачем. Я раньше тоже так считал, но потом "дочитав до конца" осознал ошибку. Я это уже говорил ранее. Поэтому мне и не понятна эта позиция регулятора. О чем, собственно, я и сказал
AP
как я и говорил ранее, каждый читает закон по своему, ФСТЭК с ФСБ читают так, но они регуляторы и нам придется играть по их правилам. А прокуратура перед принятием какого то решения будет советываться не с нами, а с ними, это уж поверьте мне
2018 November 10
D
А был ответ про критичность процессов? Подходит ли вариант по нижней границе критериев из 127 или 5 рублей ущерба уже критичны все-таки?
ПЛ
С постом Алексея пересекаемся, но не во всем.
И
Павел Луцик
А если компенсирующие меры, полностью закрывают окии от вторжения и соответственно ущерба реально не будет?! Например скорая и списки. Не учитывать?! Ну и что что есть ИС! Есть, функционирует. Но мы себя обезопасили на 100%. Не логичное мнение регулятора
И
Так же, реально спорен вопрос о том что ИС не принадлежит, но нам сказали ее использовать (терм доступ или веб доступ. С таким подходом все закупочные секции госсакупок нужно у себя категорировать?!
D
Иван
А если компенсирующие меры, полностью закрывают окии от вторжения и соответственно ущерба реально не будет?! Например скорая и списки. Не учитывать?! Ну и что что есть ИС! Есть, функционирует. Но мы себя обезопасили на 100%. Не логичное мнение регулятора
Регулятор говорит, что можно учитывать меры, которые не автоматизированы, то есть в принципе не подвержены компьютерным атакам
D
Иван
Так же, реально спорен вопрос о том что ИС не принадлежит, но нам сказали ее использовать (терм доступ или веб доступ. С таким подходом все закупочные секции госсакупок нужно у себя категорировать?!
Это бредовое мнение, до первых фактов оспаривания в суде. Нет даже возможностей изучить детально чужую систему, от которой только клиентское ПО есть. Ну оценишь ущерб свой от своего кусочка, а дальше? Как модель угроз строить, если не видишь что там, в основном сегменте, как потоки строятся, кто с ним работает. Как защищать это все со стороны клиента? Вообще непродуманный подход
И
Павел Луцик
С постом Алексея пересекаемся, но не во всем.
В Вашем посте Вы говорите, что если хотя бы одно из 2 условий не выполняется то не субъект кии
"Организация на законных основаниях владеет ИС/АСУ/ИТС"
Ниже пример с медициной.
Там мнение регулятора строго обратное. Я не понял ничего. Это как? И что что есть обязанность использования. Это никак не кореспондируется с требованиями закона
"Организация на законных основаниях владеет ИС/АСУ/ИТС"
Ниже пример с медициной.
Там мнение регулятора строго обратное. Я не понял ничего. Это как? И что что есть обязанность использования. Это никак не кореспондируется с требованиями закона
И
"Объектами КИИ являются только те ИС/АСУ/ИТС, которые подлежат категорированию и соответственно попадают в перечень объектов КИИ, подлежащих категорированию"
Идем от обратного: вначале пп потом фз.
Идем от обратного: вначале пп потом фз.
И
Это бредовое мнение, до первых фактов оспаривания в суде. Нет даже возможностей изучить детально чужую систему, от которой только клиентское ПО есть. Ну оценишь ущерб свой от своего кусочка, а дальше? Как модель угроз строить, если не видишь что там, в основном сегменте, как потоки строятся, кто с ним работает. Как защищать это все со стороны клиента? Вообще непродуманный подход
Даже если и предположить эту бредовую идею. Если система централизована, то как на разным местах, но имея одинаковый функционал и назначение (лпу которые ее используют) может быть разные категории, когда критерии одни и система одна?! И да как можно категорировать только часть, не видя всей картины в общем? Это как поросли у дерева-срубил молодой стебель, а на самом деле в 10 метрах дерево высотой с дом.