Доброго времени суток, Коллеги! Пришло к нам письмо - КП на категорирование ))) Теперь есть понятие Упрощенного категорирования и народ все готов сделать за деньги НЕ выезжая к заказчику.

А в чем вопрос?

Интересное кп. Но почему-то пропало, видно автор удалил. Ну да ладно. Но надо понимать что к таким предложениям надо подходить с осторожностью. Так как такие кп не учитывают факт того, что когда обещают выполнить мероприятия, не говорят и не акцентируют внимание на то что от мероприятий зависит и документы. А тут написано-сделаем все документы. А вдруг будет категория?!

Моё сообщение администрация перенесла в ruCybSec, но мысль была такая: хотите поучиться реализовывать 187-ФЗ на более высоком уровне зрелости, сразу начитайте изучать best practice. На курсах по 1-5 дней делать нечего. Просто невозможно дать такой объём знаний за неделю. Так что на таких курсах будет только подробное "пережёвывание" законодательства и максимум намётки, что же делать.

Это понятно, что фейк и просто развод. Скоро будут на картах таро или ещё чём определять категорию объектов Заказчиков. Зато дёшево и быстро

Да не, не фейк. Действительно есть ситуации, когда субъект или организация-потенциальный субъект оказываются в прострации и не знают с какой стороны подступить к выполнению 187-ФЗ. Кто-то опасается принятия решения. Вот на таких, как мне кажется, и ориентировано данное предложение.
Законодатель не запретил, но и прямо не разрешил привлечение кого-то для категорирования. Да и на ТБ Форуме было пояснение от ФСТЭК, что они к этому относятся нейтрально, но было отмечено, что вся ответственность за окончательное решение все равно останется за субъектом, так как вся отчетная документация должна подписываться либо комиссией по категориованию (а в ее состав не предусмотрено включение консалтинговых организаций), либо руководителем субъекта.
С другой стороны, квалифицированная консультативная поддержка, я полагаю, только в пользу.

Вы, наверно, тему не поняли. Вопрос был не в том, что консалтинг как таковой вреден или полезен. Тут Вы правы на 100%. Вопрос был об услугах типа "экспресс-категорирование", дёшево, без выезда к Заказчику. Это как диагноз по телефону, или допуск к Гостайне по двум документам. Иван просто призвал быть осторожными. Мол участились случаи недобросовестного... Ну, Вы поняли

У нас действует презумпция невиновности, поэтому говорить о том, что данное КП предлагает что-то недобросовестное, мне кажется, необоснованно (в смысле, преждевременно). Но, согласен, что оно подозрительно.
Я не успел вдумчиво прочитать это КП (быстро оно было удалено). Но я слышал, что сейчас бывает и аудит оказывается удалённо, когда аудитор закидывает опросными листами.

Честно говоря, я ограничен в контраргументах, ибо сообщение будет удалено администрацией форума как саморекламу, поэтому приведу следующее. Аудит (который сертификация) по 27001 никогда аккредитованными в национальной и (или) международных системами сертификации не проводится удалённо. Инсайт аудит - неотъемлимая его часть. Иначе, орган по сертификации может лишиться аккредитации.
А вот если сертификат дали не выезжая, то это просто бумажка для торгов на площадке. Поэтому я и уверен, что экспресс-категорирование - просто деньги на ветер.

Я ни в коем случае не защищаю авторов КП, но хочу разобраться в ситуации.

Так как вопрос о привлечении кого-либо на категорирование вообще не урегулирован, то этим может заниматься абсолютно любая организация. Я говорю о требовании к наличию хоть какой-то лицензии.
Вот и получается разброд и шатание. Хочешь подороже - находишь кого-то с лицензией на ТЗКИ и с выездом, хочешь подешевле - сделают все удалённо и без лицензии и СМС. А ведь спрос рождает предложение.

Ну и другой вопрос о качестве и/или добросовестности проделанных работ. Что под этим подразумевается? Что аутсорсер честно напишет, что у субъекта какая-то категория, или придумает выход из под категории; что аутсорсер подготовит документы так, что их не возвратит на доработку ФСТЭК?

Я сравниваю качество аудита с качеством постановки диагноза. Поможет ли мне этот диагноз? Здесь: выявлю ли я действительно критические процессы, не пропущу что, корректно ли я определю категорию (ну или мне помогут). Ведь если диагноз не правильный (здесь - категория), то можем только навредить: не заложим бюджет, или он будет недостаточный/избыточный; не будем защищать то, что может принести максимальный вред при минимальных усилиях со стороны нарушителя и прочее.
Вопрос с возвращением на доработку, ИМХО, вообще считаю от обратного: если вернули, то можем исправить ошибки на первом этапе, что сэкономит в дальнейшем море ресурсов. А вот если ФСТЭК не вернёт, то тут два варианта. Первый позитивный: проверили, всё хорошо, идём дальше. Второй негативный: из-за огромнейшего объёма работ, нас пропустили, а ошибки остались. Отстветственность то всё равно на субъекте КИИ.
Так, что я был бы рад, если бы мне ФСТЭК что вернул на доработку (мне же не мешает это УЖЕ начать создавать систему защиты, или подключаться к ГосСОПКА)

Ну как все заморочено. Можно определить все удаленно и экспресс. И категории поставить как Заказчику нужно и защитить удаленным CERT

Да можно вообще ничего не делать. Или как в Европе в связи с GDPR ИТ-бизнес продать, пусть другие парятся.
))) Если Заказчик знает, как ему нужно, зачем ему нужны эти экспресс-услуги?

Как понять "как заказчику нужно"?! Если это аутсорс - то это подлог, если у заказчика категория, а он не хочет 239 приказ. По Вашему это правильно?!

Только знаете что такие вот исполнители говорят!? Если что, то ответственность НЕ на нас, так как по закону ответственность на субъекте! И поэтому таким аутсорсерам абсолютно на все это-главное денег взять да бумажки сделать, и не факт, что они верные и тем более правдивые. А те кто такие услуги заказывают значит плохо разбираются или их вводят в заблуждение, сложными терминами и уголовной ответственностью за неисполнение  законодательства по КИИ.

О! Это Вам ещё честные попались. Обычно говорят, что отстветственность на них, если они аттестат по 239-му дадут. Вот тут страшно. Заказчик то может не разбираясь верить, т.к. привык, например, к таким вещам по другим веткам законодательства (не КИИ).

Пообщался я с 3 такими конторами. Принцип один-как описано выше. И рассылают они в те сферы, где много "не грамотных"в сфере иб - здрав, наука, например

На самом деле поднятая тема и вопрос очень важны. Только 1 раз в этом чате это подымалось - когда кто - то выкладывал перечень документов предлагаемых к реализации аутсорсером. При этом только пара была нужна. А в этом случае все еще интересней-сделают все, не выезжая, не видя ситуации, только по тому что скажет заказчик!

Вот сколько видел аутсорсеров от категорирования КИИ, всегда возникал один вопрос - у их заказчиков настолько много денег? Специалисты то не самого высокого уровня, в каждую новую организацию погружаются "с нуля", ладно коммерсантов окучивают, гос структуры то куда

Аутсорсеры бывают разные. Чем лучше, тем дороже и их меньше. Также как и заказчики. Если у Заказчика есть много денег, то он уже давно завёл себе ИБшников, которые и в КИИ могут разобраться сами. Причём не важно, гос это или коммерс. За высокий скил надо платить высокую премию. Как впрочем и в любой другой профессии.
Хотя, если кто-то получает больше, ещё не значит, что он лучше знает/умеет )