ПЛ
Регулятор говорит, что можно учитывать меры, которые не автоматизированы, то есть в принципе не подвержены компьютерным атакам
Логично. Но в рамках конкретно сегодняшней встречи до ручных мер диалог не дошел, свернули в другую область.
Size: a a a
2018 November 10
ПЛ
Это бредовое мнение, до первых фактов оспаривания в суде. Нет даже возможностей изучить детально чужую систему, от которой только клиентское ПО есть. Ну оценишь ущерб свой от своего кусочка, а дальше? Как модель угроз строить, если не видишь что там, в основном сегменте, как потоки строятся, кто с ним работает. Как защищать это все со стороны клиента? Вообще непродуманный подход
Полностью согласен, похожие вопросы задавались регулятору. Но развернутых ответов получено не было.
ПЛ
Иван
В Вашем посте Вы говорите, что если хотя бы одно из 2 условий не выполняется то не субъект кии
"Организация на законных основаниях владеет ИС/АСУ/ИТС"
Ниже пример с медициной.
Там мнение регулятора строго обратное. Я не понял ничего. Это как? И что что есть обязанность использования. Это никак не кореспондируется с требованиями закона
"Организация на законных основаниях владеет ИС/АСУ/ИТС"
Ниже пример с медициной.
Там мнение регулятора строго обратное. Я не понял ничего. Это как? И что что есть обязанность использования. Это никак не кореспондируется с требованиями закона
Регулятор отдельно остановился на том, что если с правом собственности и аренды более менее понятно, то с правом использования как "ином законном основании" как я понял сейчас вопрос обсуждается внутри регулятора. Возможно подтянут право использования под иные основания.
И
Павел Луцик
Логично. Но в рамках конкретно сегодняшней встречи до ручных мер диалог не дошел, свернули в другую область.
Ну, например, ведение критичной информации(те же списки скорой в эксель) на арм (автоматизированная компенсирующая мера), изолированном от сети и от основной ис, которая окии. Далее что угодно, хоть распечатка, не важно. Тут как?
ПЛ
Иван
"Объектами КИИ являются только те ИС/АСУ/ИТС, которые подлежат категорированию и соответственно попадают в перечень объектов КИИ, подлежащих категорированию"
Идем от обратного: вначале пп потом фз.
Идем от обратного: вначале пп потом фз.
Регулятор понимает эти и другие нестыковки. Но т.к. уважаемые люди решили, что исправлять закон так рано это не по фен-шую, то оба регулятора пытаются решить свои вопросы с использованием текущей редакции.
И
Павел Луцик
Регулятор отдельно остановился на том, что если с правом собственности и аренды более менее понятно, то с правом использования как "ином законном основании" как я понял сейчас вопрос обсуждается внутри регулятора. Возможно подтянут право использования под иные основания.
Ну фз ж менять сейчас не собираются
ПЛ
Иван
Ну, например, ведение критичной информации(те же списки скорой в эксель) на арм (автоматизированная компенсирующая мера), изолированном от сети и от основной ис, которая окии. Далее что угодно, хоть распечатка, не важно. Тут как?
По логике нормальная компенсирующая мера, но как на это посмотрит регулятор непонятно.
ПЛ
Иван
Ну фз ж менять сейчас не собираются
Ну его и не надо будет менять. Регулятор просто сформирует свою позицию внутри себя и потом доведет до всех. В законе "иные основания" уже прописаны.
И
Павел Луцик
По логике нормальная компенсирующая мера, но как на это посмотрит регулятор непонятно.
))) в том то и вся суть, что вопросов больше чем ответов, а ответы противоречивы. Складывается впечатление, что регулятор сам до сих пор не понимает всю суть этого проекта, точнее те аспекты, которые должны давать четкие определения и выбор направления работы на основании определений.
ПЛ
Он все осознает. Он тут и сам пытается встроиться в процесс. Основные вопросы к документам (ФЗ и ПП), которые разрабатывал не он.
ПЛ
A
Ранее они говорили, что даже если ущерб не подпадает под 3-ю категорию - процесс критичен. Интересно изменилась ли позиция сейчас?
АК
Коллеги, готов давать комментарии с учётом уже имеющегося практического опыта.
Материал:
https://www.securitylab.ru/blog/personal/eNotepad/345115.php
Материал:
https://www.securitylab.ru/blog/personal/eNotepad/345115.php
D
Ранее они говорили, что даже если ущерб не подпадает под 3-ю категорию - процесс критичен. Интересно изменилась ли позиция сейчас?
Пока по выдержкам из формулировок товарищей блогеров видится позиция, что критический процесс - это про процесс реализации тех самых функций по областям: медицина, банковская, промышленность и т. д. Без учета ущерба возможного даже на первом этапе.
AE
как я и говорил ранее, каждый читает закон по своему, ФСТЭК с ФСБ читают так, но они регуляторы и нам придется играть по их правилам. А прокуратура перед принятием какого то решения будет советываться не с нами, а с ними, это уж поверьте мне
Мне почему-то кажется, что в случае серьёзного жаха, прокуратура будет советоваться не только с ними. Поэтому, к позициям регуляторов безусловно нужно прислушиваться. Даже ориентироваться. При этом осознавая, что в случае жертв - в суде "позиция регуляторов" не очень-то поможет. Как бьют не по паспорту, так и сажать будут не по бумагам. И в этом отношении мне близка аналогия с пожарной безопасностью.
АК
Ранее они говорили, что даже если ущерб не подпадает под 3-ю категорию - процесс критичен. Интересно изменилась ли позиция сейчас?
Нет, не изменилась.
AP
Мне почему-то кажется, что в случае серьёзного жаха, прокуратура будет советоваться не только с ними. Поэтому, к позициям регуляторов безусловно нужно прислушиваться. Даже ориентироваться. При этом осознавая, что в случае жертв - в суде "позиция регуляторов" не очень-то поможет. Как бьют не по паспорту, так и сажать будут не по бумагам. И в этом отношении мне близка аналогия с пожарной безопасностью.
суд в первую очередь будет слушать доводы прокуратуры, а они чью линию будут вести я уже сказал. Поэтому правильно говорите "нужно ориентироваться на их позиции"))
DK
Иван
А если компенсирующие меры, полностью закрывают окии от вторжения и соответственно ущерба реально не будет?! Например скорая и списки. Не учитывать?! Ну и что что есть ИС! Есть, функционирует. Но мы себя обезопасили на 100%. Не логичное мнение регулятора
На это регулятор ответил в 239 приказе. Ваше система - значимый объект КИИ, и вы ее обязаны защищать. Вы защищаете ее компенсирубющими мерами, что допустимо по 239 приказу. Но от этого ваша система не перестает быть значимой и вы по-прежнему обязаны ее хащищать.
DK
суд в первую очередь будет слушать доводы прокуратуры, а они чью линию будут вести я уже сказал. Поэтому правильно говорите "нужно ориентироваться на их позиции"))
Оринетироваться на мнение регуляторов нужно, но огторожно. Например, ФСТЭК может сколько угодно считать "недоуплату налогов" ущербом бюджету. Но суд в этом случае будет ориентироваться не на "мнение регуляторов", а на судебную практику и решения Верховного Суда по налоговым преступлениям.
DK
Но по остальным показателям расхождений между мнением регуляторов, судебной практикой и здравым смыслом вроде нет