D
самому смешно как информация в дискуссии подается этой, но в таких условиях и работаем )))
Size: a a a
2018 December 04
DK
опять же "по устным уточнениям" могут сравнить с поданными перечнями аналогичных организаций по рынку и поинтересоваться почему не включили
Неофициально поинтересоваться могут. На ответ "все, что должны были включить, включили" регулятору возразить нечего.
Не знаю, будет ли это меняться - мне самому такая процедура кажется странной. Но пока надзор выглядит вот так.
Не знаю, будет ли это меняться - мне самому такая процедура кажется странной. Но пока надзор выглядит вот так.
D
у нас все последние рассуждения строятся тут в духе "неофициально сказали"
VM
Неофициально поинтересоваться могут. На ответ "все, что должны были включить, включили" регулятору возразить нечего.
Не знаю, будет ли это меняться - мне самому такая процедура кажется странной. Но пока надзор выглядит вот так.
Не знаю, будет ли это меняться - мне самому такая процедура кажется странной. Но пока надзор выглядит вот так.
Почему странно? Не включили? Ну ок. Через год будет инцидент, вот тогда совсем другая комиссия спросит, почему объект признан не актуальным и почему ничего не делали для его защиты. И спросят в специально оборудованном помещении
DK
Почему странно? Не включили? Ну ок. Через год будет инцидент, вот тогда совсем другая комиссия спросит, почему объект признан не актуальным и почему ничего не делали для его защиты. И спросят в специально оборудованном помещении
Инцидент - да, с ним вопросов нет. Странно, что надзор не охватывает сам процесс категорирования.
D
тут позиция понятна - в таком случае регулятор должен обладать исчерпывающим пониманием во всех сферах или непосредственно участвовать в процедуре.
А так все ок, просто нужно убрать неточности и ошибки в описании критериев и методике
А так все ок, просто нужно убрать неточности и ошибки в описании критериев и методике
D
вообще ИМХО там все более-менее нормально сейчас и больше вопросов вносят как раз какие-то нестыкующиеся комментарии типа "написано одно, но мы считаем на самом деле другое" - вот это жесть
IO
А какие локальные акты должны быть регламентирующие вопросы обеспечения ИБ КИИ
VM
А какие локальные акты должны быть регламентирующие вопросы обеспечения ИБ КИИ
Илья. Были таблицы. Яндексите. И дано Вам будет
A
Добрый день. Коллеги по области отправили список КИИ во фстэк. Потом позвонили им. Со слов стало ясно, что отправили нам объекты, потом таблицы и живите спокойно. Так и есть?
Ну да, только не забудьте, что у Вас год на их категорирование, по результатам чего надо будет направить им же заполненную форму из приказа ФСТЭК № 236.
Д
Ну да, только не забудьте, что у Вас год на их категорирование, по результатам чего надо будет направить им же заполненную форму из приказа ФСТЭК № 236.
Спасибо
IO
Илья. Были таблицы. Яндексите. И дано Вам будет
Либо я некорректно яндексю
Либо что то пошло не так
Либо что то пошло не так
VM
выше в теме
AE
Павел Луцик
Выделил ключевые моменты прошедшего SOC-Форума. https://plutsik.blogspot.com/2018/12/soc-2018.html
Павел, спасибо. Для меня наиболее полезной стала следующая часть (ФСТЭК): "Если строится новый объект, то необходимо предусмотреть в ТЗ все необходимые процедуры законодательства по КИИ. При этом на момент составления ТЗ нужно этот объект откатегорировать. Позже, в процессе разработки, категория может быть скорректирована."
AE
И ФСБ: "Полноправный участник ГоСОПКА этот тот, кто решает на своем уровне два направления задач. Первое - вносит свой вклад в формирование общей базы знаний по вредоносной активности. Второе - организует применение в своей системе защиты тех сведений, которые приходят из ГосСОПКА. Это не разовые действия, а процессы, которые требуют порой перераспределение ресурсов, использования технических средств, принятия часто сложных управленческих решений."
AB
Павел, спасибо. Для меня наиболее полезной стала следующая часть (ФСТЭК): "Если строится новый объект, то необходимо предусмотреть в ТЗ все необходимые процедуры законодательства по КИИ. При этом на момент составления ТЗ нужно этот объект откатегорировать. Позже, в процессе разработки, категория может быть скорректирована."
Так это же в п.10 Приказа 239 ФСТЭК России прямо прописано
AB
При этом надо выполнять для потенциально значимых объектов КИИ, а не для всех ОКИИ
ПЛ
Да, в этот раз вообще было много полезной информации.
И
опять же "по устным уточнениям" могут сравнить с поданными перечнями аналогичных организаций по рынку и поинтересоваться почему не включили
И как раз такой подход регулятора будет совершенно некорректным! ))) Я раньше описывал такие ситуации. Приведу пример из Здрава. Разные учреждения (мощности, объемы, размеры, распределенность и прочее). В простой поликлиники в селе и в, например, ЦРБ может эксплуатироваться ИС одного и того-же производителя и одного и того-же функционала (он имеется изначально в ИС). НО в поликлинике используют функционал на 30% (за ненадобностью большего) а в ЦРБ на 100% - так как это нужно и они реально зависят от этого. Так вот для поликлиники эта ИС может вообще быть не окии, а для ЦРБ - может быть ЗОКИИ. ЦРБ - подало в списки, а поликлиника сказала-нам не надо. И что теперь регулятор скажет?! ))) Будет сравнивть?! Это не правильно. Он не имеет ни полномочий, ни знаний, что-бы корректно это сделать (во всяком случае без привличения специалистов из соответствующей сферы)
Более того, регулятор то и списки просто получает, и нигде не прописано, и по моему устно не озвучивалось (могу ошибаться), что реглятор сами списки проверять не будет, а проверке будет подлежать только данные о категорировании по форме.
Более того, регулятор то и списки просто получает, и нигде не прописано, и по моему устно не озвучивалось (могу ошибаться), что реглятор сами списки проверять не будет, а проверке будет подлежать только данные о категорировании по форме.