У нас была ситуация на станции переливании крови, когда шлюз лег и станция не могла получить данные по отправкам и назначениям, а срок хранения невысокий. Вот вам и КИИ, и ущерб, и нормальные такие санкции в случае чего. Как гром грянет - так и поймут в чем соль

Если я к своему приду с кучей вопросов ачто если, получу от него только встречный вопрос: ачтоесли я тебя щас уволю )))

У моего подход: приходите с вопросами и ответами на них.

К сожалению в 90% всех медучреждениях позиция "пока петух не проклюет дыру в заднице", то все замечательно. Это не правильно. Но даже если и объяснять риски и проблемы, не вдаваясь в подробности,многие не считают что нужно что-то делать. Ведь не было же раньше, почему должно произойти! :) Это сложно изменить. Это меняется только тогда, когда случается что-то. Но это не выход. Некоторые понимают все, но ничего не могут сделать, по причине отсутствия финансирования. Да бумажки может и сделают, но технические аспекты, не все могут потянуть. Это другая проблема.

У руклей есть тыжи волшебники, которые ДОЛЖНЫ сами единолично решать все вопросы где по тексту есть слова компьютер и программа. Иначе на кол посадят. Такова реальность. И фигу а не доп. Ресурсы на решение.

Просто убольшинства руководителей (я не беру другие сферы, кроме здрава, так как не мое) профильной сферы, основные проблемы заточены на пациента, именно на него и его здоровье, его надо принять полечить и выпустить И главное чтоб без проблем. Так какв ином случае, это может грозить выговорами, лишением должности, лишением лицензии и прочего. Все руководители здрава в первую очередь врачи, и они думают именно с этой колокольни. Да, специалисты профильных подразделений должны помогать, доносить и как-то приходить к общемурешению, но если руководство не настроено, это сложно. Пугать его ответственностью, уголовкой или административкой, не в компетенции нижестоящего персонала, поэтому эта информация просто доностися и зачастую на нее не обращается внимание

А вот тут не правильно. Ресурсами и решением на их выделение руководит только главврач. Вы как специаист учреждения необладаете как оргресурсами, так и матресурсами

Здравствуйте, кто-нибудь может скинуть любые документы где идет упоминание типов компьютерных инцидентов или их классификация?

Я про то и толкую

+100500 руклей на эти темы долджны стращать вышестоящие. Но т.к. по факту крайним всегда будет назначена пехота... только пехоте интересно решать вопрос. А ресурсов для этого у пехоты нет. Круг замкнулся.

Коллеги. Честно говоря, это проблема CISO (админа ИБ или как у вас это называется) донести до топ-менеджмента (например, главврача, главного инженера, гендира, совета директоров и пр.) мысль, что им ВЫГОДНО потратить деньги на КИИ/ИБ/пр. Без вовлечённости руководства можно даже не начинать делать остальное. Да у организации может не быть денег сейчас, но если руководство будет заинтересовано, то будет искать способ их найти, а не причину, почему не искать. Если руководитель отказывает вам в помощи по КИИ, потому что не понял ничего, или не воспринял риски, то это цисо плохой. А если руководитель осознаёт риски и принимает/игнорирует их, то... Дальше вам решать будете ли вы с ним работать дальше.
Вы на корабле и видите, что заходите на минное поле. Ваша задача объяснить риски взрыва мин. Как - сами решайте.
Руководитель пойдёт на снижение уровня риска до более менее приемлемого уровня при небольших затратах (если, конечно, у нет цели утопить корабль). Так что дерзайте и дано вам будет (ресурсы на обеспечение безопасности КИИ)

Ну зачем так критично? В нормативке же прописана коллегиальная ответственность, даже конечная на руководителе. Вы обязаны собрать комиссию, которая будет решения принимать, а верхняя подпись под всеми этими решениями будет от руководителя. Если это грамотно донести (и развести руками, указав на закон), то интереса и помощи будет чуть больше

далее ответственный за КИИ уже направит официальные запросы оценки ущерба и возможных последствий, получит официальные ответы и все это в протокол и утверждать комиссией

поправьте если не прав, в 235пр говорится о уполномоченном лице, которое создает систему иб и о структурном подразделении, так вот если руководство назначает вас как уполномоч лицо, вы должны создать систему без, и вам должны это позволить. Или вы подразделение и выполняете указания рук субъекта, ответственность на нем

то что вы уполномоч лицо должно же быть закреплено приказом например, и у вас должны быть соотв полномочия. Иначе нарушение требований 235 как минимум

создание подразделений и иные приказы по организационной структуре может утверждать только руководитель

то есть рук должен и ответственного приказом назначить и подразделение, отвечающее за ИБ

воот, ну подразделения в большинстве случаев уже есть, а вот уполномоч лица не назначались

это как ответственный за ИБ в предприятии - начальник отдела ИБ и сам отдел ИБ, с соответствующим положением об отделе и должностными инструкциями

там есть еще нюанс про запрет на совмещение, а часто за ИБ отвечает персонал, осуществляющий сопровождение инфраструктуры, ИТ