Алексей, спасибо за уточнение.
Правильно ли я понимаю,что для нужд своей компании я могу хоть opensource применять?
И как изменится ситуация если скажем сосед попросит сделать ему проект по СЗИ ЗОКИИ ?

Такая информация проскакивала. Но НКЦКИ продолжает распространять методичку от 2016 года, где используется такое деление центров ГосСОПКА: ведомственные и корпоративные. Тем не менее, на SOC-форуме, по-моему, было заявление, что эта методичка ожидает актуализации (в виде изменений), так что ждём.
А пока ситуация такова, что в методичке деление, как говорил выше, есть, а в вышедшем трио приказов его нет.

Интересно, вторую тройку приказов мы увидим до конца года? «Вторая тройка игроков в студию.»

Я поэтому тебя и вставил, сто таких деталей слуха не помнил :)

Тут тоже путаница. Свои инциденты можно сообщать, как угодно. Инциденты "дружественной" или дочерней компании - только после заключения соглашения с НКЦКИ, т.е. став центром ГосСОПКА для этой компании.

Если не госорган, то формально да. Но дальше начинаются танцы с бубном. ФСБ, например, считает, что раз в их 378-м приказе под ПДн написано только сертифицированные, то так и надо. То, что они не могут проверить это требование по закону, мало кто задумывается. Как и о том, что такое требование в приказе ФСБ мягко говоря выходит за рамки полномочий ФСБ, так как в законе таких ограничений на формы оценки соответствия нет и ФСБ не может сужать перечень этих форм (такое могут делать только Президент или Правительство). ЦБ в рамках 382-П для защиты перевода денежных средств требует сертифицированные СКЗИ с 2024-2031 года (это если данный участок подпадет под ОКИИ).

Народ! а кто считает что внести в субьект КИИ информационную систему больницы не есть корректно(правильнт) ? И почему?

Это не корректно потому, что информационная система больницы по формальному признаку никак не может быть субъектом КИИ, а вот объектом КИИ - без проблем.

Коллеги, для тех, кто не знает, хотели бы сообщить, что в Telegram существуют группа и канал наших друзей - открытого сообщества специалистов по промышленной кибербезопасности RUSCADASEC, где публикуются и обсуждаются различные технические и организационные аспекты кибербезопасности промышленной критической инфраструктуры, включая новые исследования, зарубежный опыт, рынок решений и труда по теме и многое другое. Присоединяйтесь, если вам интересна тематика:
Группа: https://t.me/RUSCADASEC
Канал: https://t.me/RUSCADASECnews

Опечатка. Сорри. Канеш объектом

Окончательно на этот вопрос сможет ответить только сам субъект, которому эта система принадлежит. Позиция (неформальная) ФСТЭК такова, что объект КИИ - это система, которая функционирует в той сфере, которая позволила организации стать субъектом, отрабатывает некий критический процесс и включена в перечень ОКИИ подлежащих категорированию.

Аппараты мрт и рентген ...находятся в лвс (ИС)  больнцы. Объект рентген аппарат или ИС?

И если объект ИС больницы то все меры защиты надо применять ко всей ИС?

Если Ваша ИС получает категорию, то по приказу вы должны ее защитить. И не только ее основную часть. Вы должны защитить все "вхождения" в нее. Все арм, мрт, и рентгены, если они имеют связь с Вашей ис. Положим связь идет через сеть Вашу. То ее надо под защиту, ведь через нее монут добраться и до всего остального. Надо защищать и арм, так как и через них может быть атака. И так далее

в 187-ФЗ вводится определение компьютерного инцидента, существует ли что то подобное, но для определения риска в КИИ, применительно к банковской сфере, на которое  можно было бы сослаться при формировании политики управления рисками ИБ и стратегии обеспечения неприрывности бизнеса?

Может что то нужное будет в

ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности

ага. тоже про него думал

В КИИ принципиально не используются понятия "риск", "вероятность" и т.п. "Управление рисками" в современном его понимании предполагает концентрацию на защите только от тех угроз, в результате которых страдает владелец защищаемой системы. Для КИИ это неприемлемо.

не совсем согласен, так как мы в первую очередь описываем активы организации и коррелируем риски с активами ( активы в данном случае все, что имеет ценность для организации и находится в её распоряжении), тут вопрос, что считать активом  в данном случае при риск-ориентированном подходе к управлению ИБ, считаю, что это и к КИИ тоже применимо. Так как если у нас была некая финансовая организация и был разработан пакет нормативных документов в том, числе по риск-ориентированному подходу и то, что организация теперь попадает под 187-ФЗ никак не отменяет разработку этих документов. Тут не получится сказать мы теперь КИИ и для нас это не применимо

тут вопрос был о том, что возможно КИИ привносит какую то свою термирологию в разработку подобных документов, как в случае с компьютерными инцидентами