A
Запутался в документах Показателя применять к процессам или к ОИИ.
Показатели применять к объектам, а определять критические процессы коллегиальным мнением комиссии.
Size: a a a
2018 December 18
AB
Но для определения критичности процессов тоже можно их применять
Е
Спасибо
A
Законодатель допускает ситуацию, что объект КИИ (т.е. некая ИС/ИТС/АСУ, обрабатывающая некий критический процесс и заявленная на категорирование в ФСТЭК) при дальнейшем анализе показателей критериев значимости может оказаться незначимым, так как негативные последствия есть, но их ущерб не дотягивает до минимальных показателей по всем критериям.
2018 December 19
AL
Выявили но их даже к 3 категории отнести нельзя
Для банков это нормальная ситуация
ii
Коллеги, а как поступили с АРМ КБР при составлении перечня ОКИИ? включали как незначимый? Или совсем не подавали? У нас с коллегами мнения разделились... Думаем подать запрос на разъяснения в ФСТЭК...
A
Коллеги, а как поступили с АРМ КБР при составлении перечня ОКИИ? включали как незначимый? Или совсем не подавали? У нас с коллегами мнения разделились... Думаем подать запрос на разъяснения в ФСТЭК...
Логикой категорирования подразумевается, что на стадии формирования Перечня и подачи его в ФСТЭК, субъект КИИ ещё не знает, какие объекты у него значимые, а какие нет. На данном этапе необходимо решить, какие ИС/ИТС/АСУ субъект КИИ будет категорировать. Данное решение полностью отдаётся на откуп комиссии по категорированию, которая руководствуясь экспертными мнениями своих членов, формирует указанный перечень. В общем случае схема такова: у субъекта есть некая функция, нарушение выполнения которой может привести к негативному последствию абсолютно любого масштаба; субъект выявляет ИС/ИТС/АСУ выполняющую эту функцию и включает ее в перечень ОКИИ, подлежащих категорированию, далее направляет в ФСТЭК перечень, затем проводит категорирование, в процессе которого и будет установлено значимая эта ИС/ИТС/ АСУ или нет.
ii
Логикой категорирования подразумевается, что на стадии формирования Перечня и подачи его в ФСТЭК, субъект КИИ ещё не знает, какие объекты у него значимые, а какие нет. На данном этапе необходимо решить, какие ИС/ИТС/АСУ субъект КИИ будет категорировать. Данное решение полностью отдаётся на откуп комиссии по категорированию, которая руководствуясь экспертными мнениями своих членов, формирует указанный перечень. В общем случае схема такова: у субъекта есть некая функция, нарушение выполнения которой может привести к негативному последствию абсолютно любого масштаба; субъект выявляет ИС/ИТС/АСУ выполняющую эту функцию и включает ее в перечень ОКИИ, подлежащих категорированию, далее направляет в ФСТЭК перечень, затем проводит категорирование, в процессе которого и будет установлено значимая эта ИС/ИТС/ АСУ или нет.
АРМ КБР, оно ведь не принадлежит на праве собственности банку, (договор считать основанием?), и является только "интерфейсом" в платежную систему ЦБ?
A
АРМ КБР, оно ведь не принадлежит на праве собственности банку, (договор считать основанием?), и является только "интерфейсом" в платежную систему ЦБ?
Если бы я знал, что такое АРМ КБР))) Даже ФСТЭК требует, чтобы им в перечне приходили не аббревиатуры а-ля АСУИССУ или АРМ КБР, в которых одна часть, вроде как, понятна, а другая нет. Тем более в первом сообщении о собственности речи никакой не шло.
Выше я описал общий порядок.
Разумеется, категорирование, в принципе, осуществляется в отношении ИС/ИТС/АСУ, принадлежащих на праве собственности, аренды и ином законном основании.
В общем, я бы резюмировал так.
Подавать это АРМ или нет - решать только Вам (ну не Вам лично, но комиссии по категорированию).
Подать это АРМ в перечне значимым или нет Вы не можете, так как это определяется на стадии непосредственного категорирования, что следует за подачей перечня.
Если эта ИС не принадлежи субъекту ни на каком законном основании, то это аргумент в пользу того, чтобы не подавать.
Выше я описал общий порядок.
Разумеется, категорирование, в принципе, осуществляется в отношении ИС/ИТС/АСУ, принадлежащих на праве собственности, аренды и ином законном основании.
В общем, я бы резюмировал так.
Подавать это АРМ или нет - решать только Вам (ну не Вам лично, но комиссии по категорированию).
Подать это АРМ в перечне значимым или нет Вы не можете, так как это определяется на стадии непосредственного категорирования, что следует за подачей перечня.
Если эта ИС не принадлежи субъекту ни на каком законном основании, то это аргумент в пользу того, чтобы не подавать.
ii
Вот хотелось услышать как коллеги из банковской сферы подошли к этому вопросу, ситуация то у всех одинаковая. Может кто то уже откотегорировался... Общий подход к этапу понятен, @Alexxiel спасибо.
А@
Мне кажется странно категорировать в качестве ОКИИ отдельный АРМ, который по сути является интерфейсом между АБС и платежной системой БР.
AL
Мне кажется странно категорировать в качестве ОКИИ отдельный АРМ, который по сути является интерфейсом между АБС и платежной системой БР.
В ПДн так делали нередко. Тут тоже можно. Но не нужно. АРМ КБР-Н - это ЦБшный компонент. Как и шлюзы в СВИФТ, Визу и др.
DK
Alexey Lukatsky
В ПДн так делали нередко. Тут тоже можно. Но не нужно. АРМ КБР-Н - это ЦБшный компонент. Как и шлюзы в СВИФТ, Визу и др.
В каком смысле "ЦБшный"? По договору обмена ЦБ не несет ответственности за функционирование и безопасность АРМ КБР. - это ответственность самого банка.
Другое дело, что я не вижу сценария, при котором атака на АРМ КБР могла бы надолго остановить отправку платежей. Если понадобится, он легко поднимается на другом компе. Поэтому нет особого смысла делать для него защиту по всей строгости 239 приказа, а значит нет смысла его категорировать.
Другое дело, что я не вижу сценария, при котором атака на АРМ КБР могла бы надолго остановить отправку платежей. Если понадобится, он легко поднимается на другом компе. Поэтому нет особого смысла делать для него защиту по всей строгости 239 приказа, а значит нет смысла его категорировать.
ii
В каком смысле "ЦБшный"? По договору обмена ЦБ не несет ответственности за функционирование и безопасность АРМ КБР. - это ответственность самого банка.
Другое дело, что я не вижу сценария, при котором атака на АРМ КБР могла бы надолго остановить отправку платежей. Если понадобится, он легко поднимается на другом компе. Поэтому нет особого смысла делать для него защиту по всей строгости 239 приказа, а значит нет смысла его категорировать.
Другое дело, что я не вижу сценария, при котором атака на АРМ КБР могла бы надолго остановить отправку платежей. Если понадобится, он легко поднимается на другом компе. Поэтому нет особого смысла делать для него защиту по всей строгости 239 приказа, а значит нет смысла его категорировать.
Сценарий может быть к примеру не с остановкой платежей, а причинением ущерба субъекту в следствии атаки и подмены платежей на арм кбр
DK
Сценарий может быть к примеру не с остановкой платежей, а причинением ущерба субъекту в следствии атаки и подмены платежей на арм кбр
Так функцию подписания ЭПС у АРМ КБР еще несколько лет назад должны были оторвать, не?
Если подписание платежных документов идет на АРМ КБР - да, без вариантов, надо категорировать и защищать. Если АРМ получает уже подписанные ЭПС и тупо передает в ЦБ, то угроза подмены неактуальна, и не вижу смысла упираться в выполнение ФСТЭКовских требований
Если подписание платежных документов идет на АРМ КБР - да, без вариантов, надо категорировать и защищать. Если АРМ получает уже подписанные ЭПС и тупо передает в ЦБ, то угроза подмены неактуальна, и не вижу смысла упираться в выполнение ФСТЭКовских требований
Е
Коллеги добрый день. Банкам нужно ли отправлять перечень объектов КИИ подлежащих категорированию в ЦБ на согласование?
AL
Коллеги добрый день. Банкам нужно ли отправлять перечень объектов КИИ подлежащих категорированию в ЦБ на согласование?
Нет
Е
спасибо
DB
Alexey Lukatsky
Нет
Добрый день!
DB
А больницам?