Определение субъектов ГосСОПКА есть в "Требованиях к подразделениям субъектов ГосСОПКА..." (они ограниченного распространения, но само определение проскакивает в некоторых открытых вебинарах по госсопке) - под субъектами понимаются организации заключившие соответствующее соглашение с ФСБ (НКЦКИ) или "в силу закона осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак". Вторая часть мне самому не очень понятна (

Субъектов ГосСОПКА можно разделить на две категории:
1. Те, кто обязан создавать центры ГосСОПКА
2. Те, кто добровольно решил воспользоааться правом использовать средства ГосСОПКА, установленным в ФЗ-187

К первым относятся органы государственной власти, они получают соответствующее распоряжение Правительства.

Соответственно, если вы не орган власти и не подключались добровольно к инфраструктуре НКЦКИ - вы не субъект ГосСОПКА

🤔 думается подключение к технической инфраструктуре НКЦКИ не делает из вас субъект ГОССОПКА

То есть организации, подключившиеся к технической инфраструктуре обязаны выполнять "Требования к подразделениям..."? Интересно )

Вот зачем, пентест может быть и одним из начальных мероприятий при работе с объектом вместе с обследованием, а тут вот в приказах ФСТЭК по КИИ пентесты указаны. Мне просто очень интересно, по идеи успехом пентеста должен быть доступ к критическому процессу вот и хотелось посмотреть как Регуляры думают по этому поводу, сами критерии оценки успешности... Но это полбеды по НМД пентест это один из вариантов оцеки подсистемы  ЗИ, а вот как ставить задачу пентест команде? Как понять полноту , пентест может быть за 100 тыс а может и 1мил, как обосновать перед заказчиком что нужно именно этот пентест в таком обьеме вот собственно вопрос из за чего возник, когда пентест делаешь сам себе понять на сколько денег есть так и делаешь а тут то обязательно как я понимаю

Наивысшая