VM
Ничего не делать. Внесите изменения в ваш внутренний акт категориррвания и все
Г-н Лютиков сказал, что если что сильно изменилось - перекатегорируйте и присылайте в уведомительно порядке
Size: a a a
2019 March 22
AN
а как понять сильно? какие критерии
AN
допустим категория не изменилась
AN
но изменились угрозы, изменился состав.
VM
Andrey Nefedov
допустим категория не изменилась
Я так понял сами решаете. ФСТЭК просто ведёт базу. И помогает. Решение за вами
DK
Г-н Лютиков сказал, что если что сильно изменилось - перекатегорируйте и присылайте в уведомительно порядке
Если ищменились процессы, измеился состав угроз, ищменились последствия, пусть лаже в пределах присвоенной категории - то да, лучше уведомить.
А если перешли с релиза 1.0.1 на 1.0.2 - смысла нет уведомоять
А если перешли с релиза 1.0.1 на 1.0.2 - смысла нет уведомоять
DK
Простое изменение количества серверов и переход на новую версию софта обычно ландшафт угроз не меняет
VM
Простое изменение количества серверов и переход на новую версию софта обычно ландшафт угроз не меняет
Если только этот софт при этом движок не сменил, или вообще платформу
AN
Простое изменение количества серверов и переход на новую версию софта обычно ландшафт угроз не меняет
это понятно. Допустим мы перешли с физики на виртаулизацию. Угрозы изменяться.
VM
Andrey Nefedov
это понятно. Допустим мы перешли с физики на виртаулизацию. Угрозы изменяться.
Да. Уведомляйте. Хотя можно думаю раз в год, например. Агрегированные изменения
A
Andrey Nefedov
Всем привет)) вопрос такой. Допустим у объекта изменился програмно-аппаратный состав (изменилось количество пк или серверов) или изменилось используемое прикладное ПО. Что делать в таком случае если мы уже провели категорирование?
Это на Ваше усмотрение. Законодателем установлены случаи пересмотра категории: ст. 7 187-ФЗ и п. 21 ПП-127. Возможно, предполагалось, что у субъекта копятся изменения, о которых он отправит информацию при пересмотре.
VV
По кодам ОКВЭД смотрите - входит в перечисленные виды деятельности, категорируйте, не входит - выдохните.
Извините, а где написано что нужно смотреть по кодам оквэд
VM
Vorobyev Valeriy
Извините, а где написано что нужно смотреть по кодам оквэд
Нигде. Считайте, что это best practice
DP
Vorobyev Valeriy
Извините, а где написано что нужно смотреть по кодам оквэд
Могу ошибиться, но об этом говорил спикер от ФСТЭК на одной из конференций
DK
Vorobyev Valeriy
Извините, а где написано что нужно смотреть по кодам оквэд
Нигде. И про "выдохните" - неправда
DK
Местный ФСТЭК на секции КИИ:
"Не нужно упираться только в коды ОКВЭД, лицензии и т.п. ФСТЭК России как орган власти субъектом КИИ не является. Но вот у нас, например, есть побочная деятельность: мы снабжаем излишками энергии подведомственную организацию. И в рамках этой побочной деятельности мы - субъект КИИ".
https://www.facebook.com/malotavr/posts/2316314111978825
"Не нужно упираться только в коды ОКВЭД, лицензии и т.п. ФСТЭК России как орган власти субъектом КИИ не является. Но вот у нас, например, есть побочная деятельность: мы снабжаем излишками энергии подведомственную организацию. И в рамках этой побочной деятельности мы - субъект КИИ".
https://www.facebook.com/malotavr/posts/2316314111978825
SB
Местный ФСТЭК на секции КИИ:
"Не нужно упираться только в коды ОКВЭД, лицензии и т.п. ФСТЭК России как орган власти субъектом КИИ не является. Но вот у нас, например, есть побочная деятельность: мы снабжаем излишками энергии подведомственную организацию. И в рамках этой побочной деятельности мы - субъект КИИ".
https://www.facebook.com/malotavr/posts/2316314111978825
"Не нужно упираться только в коды ОКВЭД, лицензии и т.п. ФСТЭК России как орган власти субъектом КИИ не является. Но вот у нас, например, есть побочная деятельность: мы снабжаем излишками энергии подведомственную организацию. И в рамках этой побочной деятельности мы - субъект КИИ".
https://www.facebook.com/malotavr/posts/2316314111978825
Побочная деятельность - тоже деятельность. Если мы рассмотрели все виды деятельности организации и они не попали в сферы 187-ФЗ, то на этом можно закончить.
DK
Побочная деятельность - тоже деятельность. Если мы рассмотрели все виды деятельности организации и они не попали в сферы 187-ФЗ, то на этом можно закончить.
Она может быть не указана в уставе кодом ОКВЭД и вообще может не заявляться в уставе. Стандартная формулировка в уставе: "А, Б, В и иные виды деятельности, не запрещенные законом".
SB
Она может быть не указана в уставе кодом ОКВЭД и вообще может не заявляться в уставе. Стандартная формулировка в уставе: "А, Б, В и иные виды деятельности, не запрещенные законом".
Дмитрий, какой рекомендуешь чек-лист чтобы точно не пропустить такой побочный вид деятельности? Кроме ОКВЭД, уставных документов, ежегодного отчета о деятельности компании, лицензий, оргструктура.... что ещё?
DK
Дмитрий, какой рекомендуешь чек-лист чтобы точно не пропустить такой побочный вид деятельности? Кроме ОКВЭД, уставных документов, ежегодного отчета о деятельности компании, лицензий, оргструктура.... что ещё?
Проинвентаризировать информационные системы и посмотреть, для чего они используются в реальности. IMHO, единственный способ.