Size: a a a

2019 April 17

D

Denis in КИИ 187-ФЗ
Азамат Абдулаев
Мы не указали объектом КИИ бухгалтерию так как она при выходе из строя не несут угрозу жизни
все системы будут объектами КИИ, раз вы субъект. Это прямой вывод из 187-ФЗ. А отмечать и направлять нужно объекты КИИ, подлежащие категорированию. Вот к ним бух уже относиться не будет
источник

T

TopKa in КИИ 187-ФЗ
Коллеги.  А кто как понял п.  14 со сноской 2 452 постановления?
источник

D

Denis in КИИ 187-ФЗ
TopKa
Коллеги.  А кто как понял п.  14 со сноской 2 452 постановления?
по сути ФСТЭК ответил на вопрос, который задавали ранее субъекты про зависимость ОКИИ и последствий. Это нужно для варианта, когда есть компрометация смежной системы, а непосредственной компьютерной атаки на сам ОКИИ нет, например:
1. На предприятии есть какая-то АСУ ТП и верхнеуровневая SCADA. При оценке угроз и с учетом МЭ или иных мер считается, что направление несанкционированных команд на АСУ ТП не актуально, а вот SCADA у нас имеет подключения хитрые к ЛВС и туда хакеры добраться могут. В таком случае нужно считать, что и АСУ ТП будет подвержена соответствующим угрозам со стороны SCADA уже, если ее порутают хацкеры.
2. Банальный пример с ИС и ИТС. Если есть угрозы для ИТС, подразумевающие ее отказ или иные нарушения, то автоматически распространяем их на ИС в части функций, реализующихся ИТС
3. Связанные ИС/АСУ, реализующие общий процесс, где есть обработка и передача данных из одной в другую - по аналогии рассматриваем угрозу нарушения работы, если сломалась система с нижней ступени обработки, ну и компрометация - возможно будет подмененная информация на входном потоке например.
источник

T

TopKa in КИИ 187-ФЗ
Denis
по сути ФСТЭК ответил на вопрос, который задавали ранее субъекты про зависимость ОКИИ и последствий. Это нужно для варианта, когда есть компрометация смежной системы, а непосредственной компьютерной атаки на сам ОКИИ нет, например:
1. На предприятии есть какая-то АСУ ТП и верхнеуровневая SCADA. При оценке угроз и с учетом МЭ или иных мер считается, что направление несанкционированных команд на АСУ ТП не актуально, а вот SCADA у нас имеет подключения хитрые к ЛВС и туда хакеры добраться могут. В таком случае нужно считать, что и АСУ ТП будет подвержена соответствующим угрозам со стороны SCADA уже, если ее порутают хацкеры.
2. Банальный пример с ИС и ИТС. Если есть угрозы для ИТС, подразумевающие ее отказ или иные нарушения, то автоматически распространяем их на ИС в части функций, реализующихся ИТС
3. Связанные ИС/АСУ, реализующие общий процесс, где есть обработка и передача данных из одной в другую - по аналогии рассматриваем угрозу нарушения работы, если сломалась система с нижней ступени обработки, ну и компрометация - возможно будет подмененная информация на входном потоке например.
Т.е. есть два  объекта А и Б. Объект А зависит от объекта Б, если Б хакнули то объект А лежит. При оценке критериев по объекту А необходимо учитывать последствия от воздействий на объект Б? Следовательно объект А потенциально будет иметь больший критерий значимости, и следовательно и мероприятий по защите необходимо реализовывать больше? Но объект Б то как был менее защишен так и останется. Или все наоборот?
источник

D

Denis in КИИ 187-ФЗ
TopKa
Т.е. есть два  объекта А и Б. Объект А зависит от объекта Б, если Б хакнули то объект А лежит. При оценке критериев по объекту А необходимо учитывать последствия от воздействий на объект Б? Следовательно объект А потенциально будет иметь больший критерий значимости, и следовательно и мероприятий по защите необходимо реализовывать больше? Но объект Б то как был менее защишен так и останется. Или все наоборот?
Не совсем так. Там про последствия не говорится, то есть ущерб не суммируется. Нужно учитывать именно дополнительные потенциальные угрозы, связанные с нарушением функционирования объекта Б или его компрометации. Для А нужно делать оценку ущерба исходя из возможных для него собственных угроз + причитающихся угроз от нарушения функционирования Б, если они отличаются как-то по воздействию/последствиям

это по аналогии распространяется и на пункт 14(3)

И интересно, что там нет примечания о том, что все это в рамках одного субъекта (хотя логично предположить, что это так), поэтому получается в теории, что нужно делать запросы энергоснабжающим компаниям что и как там с угрозами электростанциям, а также операторам сязи что там с их сетями связи, которыми мы пользуемся :)
источник

T

TopKa in КИИ 187-ФЗ
Denis
Не совсем так. Там про последствия не говорится, то есть ущерб не суммируется. Нужно учитывать именно дополнительные потенциальные угрозы, связанные с нарушением функционирования объекта Б или его компрометации. Для А нужно делать оценку ущерба исходя из возможных для него собственных угроз + причитающихся угроз от нарушения функционирования Б, если они отличаются как-то по воздействию/последствиям

это по аналогии распространяется и на пункт 14(3)

И интересно, что там нет примечания о том, что все это в рамках одного субъекта (хотя логично предположить, что это так), поэтому получается в теории, что нужно делать запросы энергоснабжающим компаниям что и как там с угрозами электростанциям, а также операторам сязи что там с их сетями связи, которыми мы пользуемся :)
Это в тексте я и вычитал. Но логику не вижу. Поэтому и обратился к коллективному разуму
источник

D

Denis in КИИ 187-ФЗ
если совсем просто:
вы составили перечень угроз для объекта Б и там есть:
нарушение работоспособности/сбои из-за.....
нарушение целостности обрабатываемой информации.
Соответственно, в перечень угроз зависимого объекта А добавляются угрозы:
нарушение доступности входной информации от системы Б
нарушение целостности входной информации от системы Б,
далее делаете анализ последствий от этих угроз и рассчитываете ущерб от них как всегда
источник

T

TopKa in КИИ 187-ФЗ
👍
источник

VM

Vladimir Minakov in КИИ 187-ФЗ
Надо уметь во время остановиться. Вторичные риски вы никогда все не закроете
источник

D

Denis in КИИ 187-ФЗ
Ну там это относилось к новым рискам от систем защиты. Здесь все-таки другое и в целом верное. Но кто-то и так раньше выстраивал такую цепочку и рассматривал связанные угрозы, а для кого-то это было неочевидно и сделали такое уточнение. Другой вопрос, как его теперь будут трактовать и использовать - не все ответственные раньше могли и просто к угрозам подступиться адекватно, а с новыми нагромождениями еще хуже может стать
источник

VM

Vladimir Minakov in КИИ 187-ФЗ
Denis
Ну там это относилось к новым рискам от систем защиты. Здесь все-таки другое и в целом верное. Но кто-то и так раньше выстраивал такую цепочку и рассматривал связанные угрозы, а для кого-то это было неочевидно и сделали такое уточнение. Другой вопрос, как его теперь будут трактовать и использовать - не все ответственные раньше могли и просто к угрозам подступиться адекватно, а с новыми нагромождениями еще хуже может стать
Но и не учитывать тоже неправильно. Хотя да. Сложность на порядок возрастает.
источник
2019 April 18

А

Алена in КИИ 187-ФЗ
Y@r.os['l0v3']
есть субъект КИИ в сфере здравоохранения, подскажите, целесообразность выделения объекта КИИ а-ля ИС "Бухгалтерская отчетность", на основании что может повлечь негативные экономические последствия, у кого-нибудь есть опыт признания процесса сдачи бухгалтерской отчетности некритическим? Или здесь без вариантов? Заранее спасибо за помощь!
Эта ИС в критических процессах участвует? Если да, то к ней можно применить критерии. Если нет, то это не объект. Можно даже категорирование ее не проводить
источник

Y

Y@r.os['l0v3'] in КИИ 187-ФЗ
Алена
Эта ИС в критических процессах участвует? Если да, то к ней можно применить критерии. Если нет, то это не объект. Можно даже категорирование ее не проводить
если я правильно понимаю, процесс, связанный с отчислением налогов в фонды РФ, это уже критический процесс для любого субъекта КИИ
источник

R

Rus in КИИ 187-ФЗ
Доброе утро, коллеги!
Вопрос следующий:
Если организация является субъектом КИИ по видам деятельности, но не имеет у себя ИС, функционирующих в этих сферах (только 1С, ЭДО и т.п.), по какому пути правильнее всего будет пойти? Надо собирать комиссию и актировать отсутствие таких ИС?
источник

А

Алена in КИИ 187-ФЗ
Y@r.os['l0v3']
если я правильно понимаю, процесс, связанный с отчислением налогов в фонды РФ, это уже критический процесс для любого субъекта КИИ
Смотрите внимательно пункт 5 пп 127
источник

А

Алена in КИИ 187-ФЗ
Оцените, какой ущерб экономический может наступить от того, что вы не можете лечить людей. Например, вы единственные, кто делает прививку от сибирской язвы в регионе. Без этой прививки работоспособное население региона не будет допущено к работе. Эти производства будут простаивать. В регионе коллапс, бюджету ущерб. А вы прививку не можете поставить, потому что без 1с не можете ни вакцину заказать, ни учесть ее. А 1с лежит из-за хакерской атаки.
источник

R

Rus in КИИ 187-ФЗ
Ущерба РФ при атаке на ИС организации не будет, только частные административно-хозяйственные проблемы, ничего серьезного 100%, что в таком случае делать?
источник

Р

Роман in КИИ 187-ФЗ
Коллеги есть кто-то из банковской сферы? Сто уже успели сделать? Сами ли делали?
источник

Р

Роман in КИИ 187-ФЗ
*что
источник

А

Алена in КИИ 187-ФЗ
Rus
Ущерба РФ при атаке на ИС организации не будет, только частные административно-хозяйственные проблемы, ничего серьезного 100%, что в таком случае делать?
В таком случае 1с не реализует критические процессы. И ее не надо категорировать. Просто при составлении перечня учесть, что ис такая есть. Но она не объект
источник