А
⚠️ Обсуждение определения значимых объектов КИИ в медицинских учреждениях перенесено как узконаправленное: https://rucybersecurity.ru/t/542/
Size: a a a
2018 December 21
A
Alexey Lukatsky
Вчера услышал слух: в проекте новый редакции ПП-127 убраны незначимые объекты как как класс - нижняя граница 3-ей категории значимости начинается с нуля
Это действительно слух. Сейчас и на предстоящей неделе ФСТЭК совместно с представителями областей деятельности, затронутыми 187-ФЗ ведётся работа по выработке пакета изменений в ПП-127. Но эти изменения не предусматривают отказ от объектов, в отношении которых принято решение об отсутствии присвоения им одной из категорий значимости. Но, замечу, что этими изменениями могут быть изменены отдельные значения показателей критериев значимости, что субъектов КИИ с значимыми ОКИИ может стать больше.
M
Иван
Единственное в этом варианте-делать такие ис не окии
А вот сделать ИС не объектами критической инфраструктуры не получится (см. 187-ФЗ). Можно "ОКИИ неподлежащие категорированию"
И
А вот сделать ИС не объектами критической инфраструктуры не получится (см. 187-ФЗ). Можно "ОКИИ неподлежащие категорированию"
Каюсь. Некоректно выразился. Согласен
AL
Давайте не будем бежать впереди паровоза. Подождем официальных заявлений ФСТЭК.
С учетом того, что 239 подразумевает значительную и кропотливую работу по созданию системы обеспечения ИБ - прописывать все предусмотренные меры для незначимых объектов кажется излишним 🤔
С учетом того, что 239 подразумевает значительную и кропотливую работу по созданию системы обеспечения ИБ - прописывать все предусмотренные меры для незначимых объектов кажется излишним 🤔
А для ИСПДн таких вопросов не возникало? ИСПДн на порядки больше, чем ОКИИ, а требования идентичные
M
Alexey Lukatsky
А для ИСПДн таких вопросов не возникало? ИСПДн на порядки больше, чем ОКИИ, а требования идентичные
ИСПДн как правило типовые системы с привычными Windows, 1С и т.п. Чтобы выполнить требования можно было взять типовой пакет документов, закупить МЭ, АВС... и все.
А вот выполнение мер для таких специфических систем (типа дефибриляторы, рентгены, МРТ, а также другие АСУТП) мне кажется задачей посложней. Есть своя специфика. К тому же в организации, как правило, создается 1-2 ИСПДн, а вот ОКИИ может быть десятки. Вы только прикиньте объем бумаг, которых нужно подписать и утвердить 😱
А вот выполнение мер для таких специфических систем (типа дефибриляторы, рентгены, МРТ, а также другие АСУТП) мне кажется задачей посложней. Есть своя специфика. К тому же в организации, как правило, создается 1-2 ИСПДн, а вот ОКИИ может быть десятки. Вы только прикиньте объем бумаг, которых нужно подписать и утвердить 😱
M
Alexey Lukatsky
А для ИСПДн таких вопросов не возникало? ИСПДн на порядки больше, чем ОКИИ, а требования идентичные
По ИСПДн по-началу вопросов тоже много было. Народ (кто хотел) с горем пополам, в том числе благодаря некоторым блогерам 😉, научился и угрозы моделировать и требования 17 и 21 выполнять.
Хотя, по моим наблюдениям, требования приказов выполнены у менее чем 10÷ организаций. У ФСТЭК возможно другая статистика.
Хотя, по моим наблюдениям, требования приказов выполнены у менее чем 10÷ организаций. У ФСТЭК возможно другая статистика.
И
ИСПДн как правило типовые системы с привычными Windows, 1С и т.п. Чтобы выполнить требования можно было взять типовой пакет документов, закупить МЭ, АВС... и все.
А вот выполнение мер для таких специфических систем (типа дефибриляторы, рентгены, МРТ, а также другие АСУТП) мне кажется задачей посложней. Есть своя специфика. К тому же в организации, как правило, создается 1-2 ИСПДн, а вот ОКИИ может быть десятки. Вы только прикиньте объем бумаг, которых нужно подписать и утвердить 😱
А вот выполнение мер для таких специфических систем (типа дефибриляторы, рентгены, МРТ, а также другие АСУТП) мне кажется задачей посложней. Есть своя специфика. К тому же в организации, как правило, создается 1-2 ИСПДн, а вот ОКИИ может быть десятки. Вы только прикиньте объем бумаг, которых нужно подписать и утвердить 😱
коллега, погодите. ну почему и главное зачем Вы относите указанные вами вещи к окии?
Вас сейчас послушают многие и решат что они нужны. Я приведу пример-некоторые коллеги отнесли к окии программу выдачи больничных листов фсс, а некоторые 1с, так как через нее идут счета на сраховые.
Вас сейчас послушают многие и решат что они нужны. Я приведу пример-некоторые коллеги отнесли к окии программу выдачи больничных листов фсс, а некоторые 1с, так как через нее идут счета на сраховые.
M
Иван
коллега, погодите. ну почему и главное зачем Вы относите указанные вами вещи к окии?
Вас сейчас послушают многие и решат что они нужны. Я приведу пример-некоторые коллеги отнесли к окии программу выдачи больничных листов фсс, а некоторые 1с, так как через нее идут счета на сраховые.
Вас сейчас послушают многие и решат что они нужны. Я приведу пример-некоторые коллеги отнесли к окии программу выдачи больничных листов фсс, а некоторые 1с, так как через нее идут счета на сраховые.
Я не отношу, это делают владельцы систем. Систем, попадающих под КИИ, большое разнообразие, могут все что угодно отнести (ваш пример отлично это демонстрирует). Поэтому субъекты КИИ должны поответсвенней проводить категорирование, понимая к чему это ведет.
A
Иван
коллега, погодите. ну почему и главное зачем Вы относите указанные вами вещи к окии?
Вас сейчас послушают многие и решат что они нужны. Я приведу пример-некоторые коллеги отнесли к окии программу выдачи больничных листов фсс, а некоторые 1с, так как через нее идут счета на сраховые.
Вас сейчас послушают многие и решат что они нужны. Я приведу пример-некоторые коллеги отнесли к окии программу выдачи больничных листов фсс, а некоторые 1с, так как через нее идут счета на сраховые.
вот интересный вопрос касательно ОКИИ и систем выдачи больничных листов. Ведь регулятор пропускает такой без замечаний
И
Anton
вот интересный вопрос касательно ОКИИ и систем выдачи больничных листов. Ведь регулятор пропускает такой без замечаний
Как понять "пропускает"?!
A
Иван
Как понять "пропускает"?!
проще говоря при общении с регулятором у него не возникает вопросов почему такие системы попали в ОКИИ
M
Anton
вот интересный вопрос касательно ОКИИ и систем выдачи больничных листов. Ведь регулятор пропускает такой без замечаний
Вы лучше регулятора должны знать критичность ваших систем и он не вправе убеждать вас, что ваша система для вас некритична
И
Anton
проще говоря при общении с регулятором у него не возникает вопросов почему такие системы попали в ОКИИ
Выбор ОКИИ это сугубо Ваш вопрос и Ваша ответственность, ведь Ваша комиссия признала тот или иной объект объектом кии. У регулятора и не возникнет вопросов на этом этапе, а если бы и возникли (что и законом недопустимо) то смысла бы в них небыло - он не специалист. Специалисты Вы. У него потом будут вопросы после получения данных о категории и мерах защиты, если вдруг будет категория
A
Вы лучше регулятора должны знать критичность ваших систем и он не вправе убеждать вас, что ваша система для вас некритична
я всё же склоняюсь к тому, что это зависит от региона и конкретных представителей регулятора, кто то задёт вопросы по ОКИИ, кто то оставляет без внимания
И
Вы лучше регулятора должны знать критичность ваших систем и он не вправе убеждать вас, что ваша система для вас некритична
Более того, на этом этапе он просто должен принять бумагу со списком. Не более
И
Anton
я всё же склоняюсь к тому, что это зависит от региона и конкретных представителей регулятора, кто то задёт вопросы по ОКИИ, кто то оставляет без внимания
И это в корне не верно
A
Иван
И это в корне не верно
возможно, но как показывает практика это имеет место быть.
A
Иван
Более того, на этом этапе он просто должен принять бумагу со списком. Не более
Действительно, формирование перечня объектов КИИ, подлежащих категорированию, - действие полностью отданное на откуп субъекту КИИ, на которое ФСТЭК повлиять не может: субъект сам решает, что включать, а что нет. Поэтому к этому процессу субъектам надо относится с должной долей ответсвенности, чтобы потом не переводить бумагу и мозго-часы на работу по оценке показателей критериев значимости, ведь возвращать заполненную форму из 236 приказа ФСТЭК может сколько угодно раз.
A
Действительно, формирование перечня объектов КИИ, подлежащих категорированию, - действие полностью отданное на откуп субъекту КИИ, на которое ФСТЭК повлиять не может: субъект сам решает, что включать, а что нет. Поэтому к этому процессу субъектам надо относится с должной долей ответсвенности, чтобы потом не переводить бумагу и мозго-часы на работу по оценке показателей критериев значимости, ведь возвращать заполненную форму из 236 приказа ФСТЭК может сколько угодно раз.
собственно я это и имел ввиду. Мне не совсем понятно почему для одинакового перечня объектов КИИ, подлежащих категорированию в одном регионе не влечет за собой возврат формы, а в другом наоборот.