D
А есть разумная цепочка для вывода будет ли нарушением правил эксплуатации нарушение требований по защите ЗОКИИ? Слышал диаметральные утверждения, но пока без особых доводов
Size: a a a
2019 March 13
D
Сам склоняюсь, что будет, потому что в 239 приказе в частности указаны требования по обеспечению ИБ при вводе в эксплуатацию и эксплуатации
D
Другой вопрос - доказатт, что последствия наступили именно из-за отсутствия МЭ.
DK
А есть разумная цепочка для вывода будет ли нарушением правил эксплуатации нарушение требований по защите ЗОКИИ? Слышал диаметральные утверждения, но пока без особых доводов
А этого пока никто не знает :) Например, непонятно, если субъект по-минимуму реализует базовые меры 239 приказа и случится инцидент, можно говорить о нарушкнии 239го приказа (не проведены адаптация и дополнение мер щащиты). Но можно ли это считать нарушением правил эксплуатации, сейчас никто не скажет.
П
Коллеги, вопрос глупый и ожидаемый...и скорее обсуждаемый. Если КИИ объекты не значимые, нужно ли выстраивать взаимодействие с НКЦКИ? или достаточно ограничиваться сообщениями о инцидентах в КИИ в НКЦКИ?
VM
Да, пока приходится на проект Порядка ссылаться.
А вот насчет ответствеености ЦОД... Обычно это договор присоединения, т.е. рамочный договор, текст которого разрабатывает сам ЦОД. Обычно в таких договорах поставщик старается снять с себя любую ответственность :)
А вот насчет ответствеености ЦОД... Обычно это договор присоединения, т.е. рамочный договор, текст которого разрабатывает сам ЦОД. Обычно в таких договорах поставщик старается снять с себя любую ответственность :)
Знаю несколько ЦОДов, которые подведы СКИИ. Думаю им не больно то разрешать составлять договор ))
DK
Павел Копцев
Коллеги, вопрос глупый и ожидаемый...и скорее обсуждаемый. Если КИИ объекты не значимые, нужно ли выстраивать взаимодействие с НКЦКИ? или достаточно ограничиваться сообщениями о инцидентах в КИИ в НКЦКИ?
С НКЦКИ есть две темы: информирование об инцидентах и соглашение о взаимодействии. Информирование - обязанность, соглашение о взаимодействии - право.
DK
Информировать должны и значимые, и незначимые, взаимодействие нужно только в соучае, если организация хочет стать центром ГосСОПКА
DK
Знаю несколько ЦОДов, которые подведы СКИИ. Думаю им не больно то разрешать составлять договор ))
Ищвестные мне ЦОДы, которые задумались о ФЗ-187, поделились на две категории:
1. Категорировали себя и предлагают клиентам выполнение требований ФЗ187 для хостящихся ИС. Конкурентное преимущество :)
2. Прописали в договорах запрет размещать у себя значимые объекты. Если клиент этот звпоет нарушит, он сам себе злобный Буратино :)
1. Категорировали себя и предлагают клиентам выполнение требований ФЗ187 для хостящихся ИС. Конкурентное преимущество :)
2. Прописали в договорах запрет размещать у себя значимые объекты. Если клиент этот звпоет нарушит, он сам себе злобный Буратино :)
VM
Ищвестные мне ЦОДы, которые задумались о ФЗ-187, поделились на две категории:
1. Категорировали себя и предлагают клиентам выполнение требований ФЗ187 для хостящихся ИС. Конкурентное преимущество :)
2. Прописали в договорах запрет размещать у себя значимые объекты. Если клиент этот звпоет нарушит, он сам себе злобный Буратино :)
1. Категорировали себя и предлагают клиентам выполнение требований ФЗ187 для хостящихся ИС. Конкурентное преимущество :)
2. Прописали в договорах запрет размещать у себя значимые объекты. Если клиент этот звпоет нарушит, он сам себе злобный Буратино :)
Ну ессно. Это ж коммерсов, по-любому. А ещё могут нанять (где-то слышал термин) сидящего безопасника (который сначала в должностном кресле сидит, а если инцидент, то ... тоже сидит) и поднять ценник на свои услуги (типа частичный трансфер риска)
2019 March 14
u
Все привет, кто либо разрабатывал локально нормативные документы к КИИ ?
АО
да ))) .... приказ о назначении уполномоченног лица и о назначении ответственного за обеспечение безопасности ЗОКИИ
V
А дальше это их дело? :)
НН
Добрый день. Вопрос уже не раз озвучивал я, похож на вчерашний "горячо" обсуждаемый, но все же задам. Имеется сложный технологический объект. Там имеется интересующая меня АСУ, которая попала в перечень. Этот технологический объект принадлежит одной организации. Наша организация на основании договора арендует этот объект, в то же время, у нас заключён договор с 3-й организацией на то что они эксплуатируют этот объект, и договор с 4-й организацией на то что они занимаются обслуживанием этого объекта (тех обслуживае электрики, телемеханики, связи и прочего). Как быть в этой ситуации? Кто должен категорировать объект кии, и кого обозначать как лицо эксплуатирующее этот объект (для записи в сведения)
К(
Добрый день. Вопрос уже не раз озвучивал я, похож на вчерашний "горячо" обсуждаемый, но все же задам. Имеется сложный технологический объект. Там имеется интересующая меня АСУ, которая попала в перечень. Этот технологический объект принадлежит одной организации. Наша организация на основании договора арендует этот объект, в то же время, у нас заключён договор с 3-й организацией на то что они эксплуатируют этот объект, и договор с 4-й организацией на то что они занимаются обслуживанием этого объекта (тех обслуживае электрики, телемеханики, связи и прочего). Как быть в этой ситуации? Кто должен категорировать объект кии, и кого обозначать как лицо эксплуатирующее этот объект (для записи в сведения)
могу предположить что все таки владелец техн. объекта производит категорирование, а уже потом 3 организация как эксплуатант, ибо врядли регулятору будет интересно разбираться в ваших хитросплетениях
A
Добрый день. Вопрос уже не раз озвучивал я, похож на вчерашний "горячо" обсуждаемый, но все же задам. Имеется сложный технологический объект. Там имеется интересующая меня АСУ, которая попала в перечень. Этот технологический объект принадлежит одной организации. Наша организация на основании договора арендует этот объект, в то же время, у нас заключён договор с 3-й организацией на то что они эксплуатируют этот объект, и договор с 4-й организацией на то что они занимаются обслуживанием этого объекта (тех обслуживае электрики, телемеханики, связи и прочего). Как быть в этой ситуации? Кто должен категорировать объект кии, и кого обозначать как лицо эксплуатирующее этот объект (для записи в сведения)
Скорее всего, о категорировании должны договориться между собой организация-владелец и организация-арендатор. Так как в соответсвии с законом и ПП категорирование должен проводить кто-то из них.
VM
Скорее всего, о категорировании должны договориться между собой организация-владелец и организация-арендатор. Так как в соответсвии с законом и ПП категорирование должен проводить кто-то из них.
Ну или все должны. Например, у ремонтников бизнес-процесс может повредить/отключить ОКИИ. Вот пусть считают, чем им это обернётся. А остальные также каждый за себя. Хотя договариваться и проводить аудит второй стороны никто не отменял
EE
Давайте поясню, что такое "ответственность" и что такое "на основании" :)
Единственная ответственность, которая предусмотрена в КИИ - уголовная. Никакой другой не предусмотрено :) Уголовная ответственность наступает в случае нарушения правил эксплуатации значимого объекта КИИ.
Правила эксплуатации, нарушение которых может привести к инциденту, устанавливаются в ходе создания и эксплуатации системы. Кто этим занимается, устанавливается в концессионном соглашении. Точный текст соглашения нам неизвестен, но согласно опубликованному распоряжению правительства при заключении этого договора все обязанности по созданию и эксплуатации системы должны быть возложены на концессионера. Т.е. он сам себе правила устанавливать может, нарушить их может и понести ответственность за их нарушение - тоже может. Основанием для ответственности будет статья УК РФ.
А вот устанавливать правила, которые обязан исполнять федеральный орган власти, коммерческая компания не может. Поэтому какое бы нарушение ни привело к инциденту, Росавтодор не будет нарушителем каких-либо правил эксплуатации значимого объекта, а значит не несет уголовную ответственность за этот инцидент. А другой ответственности нет.
Это конкретный пример, когда собственник значимого объекта КИИ не отвечает за инциденты с ним.
Поэтому утверждение "собственник будет отвечать, потому что он собственник" - неправда. В некоторых случаях - да, будет. Но это нужно смотреть отдельно в каждом случае.
Единственная ответственность, которая предусмотрена в КИИ - уголовная. Никакой другой не предусмотрено :) Уголовная ответственность наступает в случае нарушения правил эксплуатации значимого объекта КИИ.
Правила эксплуатации, нарушение которых может привести к инциденту, устанавливаются в ходе создания и эксплуатации системы. Кто этим занимается, устанавливается в концессионном соглашении. Точный текст соглашения нам неизвестен, но согласно опубликованному распоряжению правительства при заключении этого договора все обязанности по созданию и эксплуатации системы должны быть возложены на концессионера. Т.е. он сам себе правила устанавливать может, нарушить их может и понести ответственность за их нарушение - тоже может. Основанием для ответственности будет статья УК РФ.
А вот устанавливать правила, которые обязан исполнять федеральный орган власти, коммерческая компания не может. Поэтому какое бы нарушение ни привело к инциденту, Росавтодор не будет нарушителем каких-либо правил эксплуатации значимого объекта, а значит не несет уголовную ответственность за этот инцидент. А другой ответственности нет.
Это конкретный пример, когда собственник значимого объекта КИИ не отвечает за инциденты с ним.
Поэтому утверждение "собственник будет отвечать, потому что он собственник" - неправда. В некоторых случаях - да, будет. Но это нужно смотреть отдельно в каждом случае.
Исходя из Вашей логики, любой Субьект КИИ выполняет меры защиты из 239, а в документах пишет , что все они (меры) не являются инциднтами при нарушении доступности целостности конфеденциальности и точка. Нет инцидента, нет нарушения экплуатации, нет ответсвенности. Сами то верите в то что пишете?
DK
ExperT ExperT
Исходя из Вашей логики, любой Субьект КИИ выполняет меры защиты из 239, а в документах пишет , что все они (меры) не являются инциднтами при нарушении доступности целостности конфеденциальности и точка. Нет инцидента, нет нарушения экплуатации, нет ответсвенности. Сами то верите в то что пишете?
Я не верю, я знаю. Квалификация деяний, связанных с нарушением правил эксплуатации, описана в методических рекомендациях генеральной прокуратуры применительно к статье 274 УК РФ.
EE
Я не верю, я знаю. Квалификация деяний, связанных с нарушением правил эксплуатации, описана в методических рекомендациях генеральной прокуратуры применительно к статье 274 УК РФ.
Ну в таком случаи группу можно закрывать, сбросить со всех груз ответсвенности и вообще как говорится "выдохнуть". Так как у нас идельное решение по уходу от ответсвтенности по 187 фз. А как мы все знаем, нет ответственности нет и исполнения =)