Size: a a a

2019 February 19

VM

Vladimir Minakov in КИИ 187-ФЗ
Угрозы всегда есть. Однако можно попробовать обосновать отсутствие актуальности части угроз
источник

1

1 in КИИ 187-ФЗ
Если речь о КИИ, то нужно по 127 ПП категорировать. И, чтобы уж наверняка присвоить "без категории", лучше описать сразу  все АКТУАЛЬНЫЕ и возможные угрозы. Не брать, конечно, из Банка угроз ФСТЭК, но и не исключать те, которые в теории могут возникнуть (без фанатизма, ясное дело). Тогда меньше шанс, что вернут на переделку акты категорирования, да и самим попроще будет
источник

AI

Alex Ivanov in КИИ 187-ФЗ
Почему без категории? Она у вас элементарно из строя выводится внутренним нарушителем с низким потенциалом - петля в один из коммутаторов неуправляемых. От ее функционирования зависят другие окии...
источник
2019 February 20

СМ

Станислав Медведев in КИИ 187-ФЗ
Уважаемые коллеги!
Насколько я понимаю, сейчас уже не требуется рисовать модели угроз, достаточно перечня. Кто-то составлял уже такой перечень?
источник

VM

Vladimir Minakov in КИИ 187-ФЗ
Станислав Медведев
Уважаемые коллеги!
Насколько я понимаю, сейчас уже не требуется рисовать модели угроз, достаточно перечня. Кто-то составлял уже такой перечень?
Сначала перечень, потом модель
источник

I

Igor in КИИ 187-ФЗ
Немного некорректное утверждение. Перечень ОКИИ - это первый этап. Второй - это категорирование и подача сведений о категорировании во ФСТЭК. На втором этапе по-любому надо оценивать риски и угрозы. Формально модель угроз необходима только для значимых ОКИИ
источник

СМ

Станислав Медведев in КИИ 187-ФЗ
Как оформляется документ «Перечень угроз», я так понимаю он должен быть приложением к акту категорирования?
источник

VM

Vladimir Minakov in КИИ 187-ФЗ
Станислав Медведев
Как оформляется документ «Перечень угроз», я так понимаю он должен быть приложением к акту категорирования?
Надо просто заполнить поля формы ФСТЭКа со сведениями о ЗОКИИ. Эти поля будут импортированы в единую БД (я так понимаю). Всё остальное не нужно.

В идеале было бы ФСТЭКу выложить приложение, которое бы не позволило дать не нужные сведения и не дать сведения, которые требуются для заполнения общей БД. А затем это приложение бы просто передало всё что нужно в требуемом формате в общую БД
источник
2019 February 21

АК

Александр К. in КИИ 187-ФЗ
Станислав Медведев
Уважаемые коллеги!
Насколько я понимаю, сейчас уже не требуется рисовать модели угроз, достаточно перечня. Кто-то составлял уже такой перечень?
Да, перечня достаточно.
Пункт 6.2 просит Вас "Основные угрозы безопасности информации".
Вы можете взять за основу "Базовую модель угроз КСИИ", точнее блоки/группы угроз.
источник

НД

Николай Двойнишников in КИИ 187-ФЗ
Коллеги, добрый день. Столкнулся с ситуацией:
Организация по определению не является субъектом КИИ (по ОКВЭД, уставу и ЕГРЮЛ), однако один из ее лицензированных видов деятельности позволяет ей предоставлять услуги организациям из горнодобывающей/ТЭК сферы. Таким образом, она обеспечивает критические процессы мониторинга добычи полезных ископаемых и генерации электроэнергии, нарушение которых может повлечь негативные соц., экономич. и экологич. последствия. Процесс обеспечивается предоставлением веб-приложения. Стоит ли начинать работы по КИИ?
источник

VM

Vladimir Minakov in КИИ 187-ФЗ
Николай Двойнишников
Коллеги, добрый день. Столкнулся с ситуацией:
Организация по определению не является субъектом КИИ (по ОКВЭД, уставу и ЕГРЮЛ), однако один из ее лицензированных видов деятельности позволяет ей предоставлять услуги организациям из горнодобывающей/ТЭК сферы. Таким образом, она обеспечивает критические процессы мониторинга добычи полезных ископаемых и генерации электроэнергии, нарушение которых может повлечь негативные соц., экономич. и экологич. последствия. Процесс обеспечивается предоставлением веб-приложения. Стоит ли начинать работы по КИИ?
Под заказ/заказчика/рамочный договор - есть смысл. Это как внедрить систему менеджмента 9001, 27001 для оказания услуг крупным Заказчикам, которым это важно. Только для КИИ можно будет дать оценку под конкретные параметры заказа/Заказчика, тогда как ISO  можно внедрять чисто локально
источник

НД

Николай Двойнишников in КИИ 187-ФЗ
Vladimir Minakov
Под заказ/заказчика/рамочный договор - есть смысл. Это как внедрить систему менеджмента 9001, 27001 для оказания услуг крупным Заказчикам, которым это важно. Только для КИИ можно будет дать оценку под конкретные параметры заказа/Заказчика, тогда как ISO  можно внедрять чисто локально
Интересный ход мыслей, я Вас понял. Однако сейчас я максимально упрощу вопрос, чтобы показать суть проблемы:
Если это юр. лицо во время добычи перестанет предоставлять работы по мониторингу добычи нефти/газа (приложение откажет в доступе, например) и произойдет взрыв, то руководителя этого юр. лица посадят?
источник

V

Valeriy G.B. in КИИ 187-ФЗ
Нет
источник

V

Valeriy G.B. in КИИ 187-ФЗ
Этот риск должен закрыть добыватель
источник

V

Valeriy G.B. in КИИ 187-ФЗ
Если передача риска не указана в договоре
источник

V

Valeriy G.B. in КИИ 187-ФЗ
Смотрите договор оказания услуги, от него пляшите
источник

НД

Николай Двойнишников in КИИ 187-ФЗ
Благодарю!
Передачи риска в договоре нет. Получается, теоретически, если мы не приведем свою услугу под соответствие требования безопасности КИИ, грамотные заказчики откажутся от нее?
источник

V

Valeriy G.B. in КИИ 187-ФЗ
Могут отказаться, если у них нет резервной системы мониторинга
источник

V

Valeriy G.B. in КИИ 187-ФЗ
По хорошему, должна быть.
источник

V

Valeriy G.B. in КИИ 187-ФЗ
Это всё равно, что требовать от интернет провайдера безотказной работы сети. Таких дураков нет, максимум sla
источник