АБ
Сроки создания системы защиты ничем не регламентированы. Протоколы, коллегии и др., в общем случае, это рекомендации, а не руководства к действию. Другой вопрос, когда к вам могут придти с проверкой выполнения требований ИБ для значимых кии.
Size: a a a
2019 May 07
SG
Андрей Боровский
Сроки создания системы защиты ничем не регламентированы. Протоколы, коллегии и др., в общем случае, это рекомендации, а не руководства к действию. Другой вопрос, когда к вам могут придти с проверкой выполнения требований ИБ для значимых кии.
Через 3 года после вступления в силу ФЗ-187?
RN
Поделитесь актом о том, что КИИ не выявлены. Вроде мелькал такой документ, но найти не смог.
АБ
Stanley Goodspeed
Через 3 года после вступления в силу ФЗ-187?
Планово вроде через 3 года после присвоения категории, внепланово раньше
SG
Андрей Боровский
Планово вроде через 3 года после присвоения категории, внепланово раньше
🤝
АБ
Stanley Goodspeed
🤝
Но лучше посмотреть нормативку в области проверок кии
SG
Андрей Боровский
Но лучше посмотреть нормативку в области проверок кии
да, вы правы.
A
По-моему, на ТБ-форуме Лютиков озвучивал, что с формальной точки зрения система защиты ЗОКИИ должна быть готова сразу, как он признаётся значимым, но заверил, что они (ФСТЭК) будут подходить адекватно. Как верно подметили выше, поверить это они смогут либо через 3 года, либо раньше, если будут основания для внеплановой проверки.
2019 May 08
DR
По-моему, на ТБ-форуме Лютиков озвучивал, что с формальной точки зрения система защиты ЗОКИИ должна быть готова сразу, как он признаётся значимым, но заверил, что они (ФСТЭК) будут подходить адекватно. Как верно подметили выше, поверить это они смогут либо через 3 года, либо раньше, если будут основания для внеплановой проверки.
Не знаете, 3 года исчисляются с момента отправки перечня ОКИИ или после категорирования?
A
Не знаете, 3 года исчисляются с момента отправки перечня ОКИИ или после категорирования?
После внесения информации о ЗОКИИ в реестр ЗОКИИ.
SG
После внесения информации о ЗОКИИ в реестр ЗОКИИ.
А оно когда выполняется после направления перечня ОКИИ или после направления формы сведений об ОКИИ?
A
После того, как ФСТЭК проверит правильность формы. И если с ней все ок, то они начнут вносить информацию в реестр. Кстати, о внесении ЗОКИИ в реестр они обязаны уведомить субъекта.
SG
Спасибо!
DP
Дамир, вы не обязаны делать модель угроз для ИСПДн. Это ваша добровольная жертва. Посмотрите внимательно 152фз, например с помощью CTrl+F. Там нет такого словосочетания.
Совершенно не согласен. В нормативном документе высокого уровня, как федеральный закон, и не должно быть каких-то упоминаний о необходимости формирования модели угроз, или чего-то подобного. Там сказано, что необходимо обеспечить безопасность обработки. В данном случае уместнее сказать о ПП-1119, в котором, однако, тоже нет явного упоминания о моделях угроз. Зато есть ряд признаком, по которым представляется возможным определить уровень защищенности обрабатываемых ПДн, исходя из актуальныхугроз и типа обрабатываемых ПДн. Подзаконные акты ФСТЭК и ФСБ уже говорят, СЗИ какого класса нам нужно использовать. И теперь внимание - как вы определите актуальные угрозы и потенциальных нарушителей безопасности обработки ПДн, без проведения соответствующего аудита, т.е. моделирования актуальных угроз, без формирования этой самой модели? Казалось бы, при чём тут ПДн? Мы же га канале о КИИ... При том, что подход к обеспечению безопасности объектов КИИ похож на ситуацию с ПДн (регуляторы ведь те же). Другое дело, что в приказе 239 явно указано про моделирование критические угроз для значимых объектов КИИ. И это не может не радовать, если таких объектов на предприятии нет. Другое дело может возникнуть резонный вопрос у регулятора: "А как определили, что угрозы не актуальны?" Комиссия собралась, ткнула пальцем в небо, и просто решила, что всё вообще не актуально?
JT
Добрый день! В Постановлении 452 от 13.04.2019 в пункте 3 говорится «рекомендовать субъектам кии - российским юридическим лицам и (или) индивидуальным предпринимателям утвердить до 01.09.2019 перечень объектов кии, подлежащих категорированию». Правильно ли я понимаю, что организация, являющаяся субъектом кии, может его не проводить?
A
Julia Timorshina
Добрый день! В Постановлении 452 от 13.04.2019 в пункте 3 говорится «рекомендовать субъектам кии - российским юридическим лицам и (или) индивидуальным предпринимателям утвердить до 01.09.2019 перечень объектов кии, подлежащих категорированию». Правильно ли я понимаю, что организация, являющаяся субъектом кии, может его не проводить?
Это фраза означает, что если субъектом КИИ, является не государственный орган и не государственная организация, то для него указанный срок направления перечня ОКИИ, подлежащих категориованию, является рекомендованным и не обязательным. Т.е. мероприятия проводить надо, но в сроки, которые субъект сам себе придумает.
JT
Это фраза означает, что если субъектом КИИ, является не государственный орган и не государственная организация, то для него указанный срок направления перечня ОКИИ, подлежащих категориованию, является рекомендованным и не обязательным. Т.е. мероприятия проводить надо, но в сроки, которые субъект сам себе придумает.
Спасибо
2019 May 09
l
Добрый день! Может кто из операторов связи поможет: на сайте АДЭ для ее членов доступна ссылка на "метод рекомендации по категорированию ОКИИ операторов связи", при этом почему-то эти рекомендации только для членов АДЭ, другим лицам данный документ даже платно недоступен. По крайней мере мне так и сказали в АДЭ. Может кто-нибудь знает как их получить не для членов АДЭ? Спасибо.
AM
Добрый день! Может кто из операторов связи поможет: на сайте АДЭ для ее членов доступна ссылка на "метод рекомендации по категорированию ОКИИ операторов связи", при этом почему-то эти рекомендации только для членов АДЭ, другим лицам данный документ даже платно недоступен. По крайней мере мне так и сказали в АДЭ. Может кто-нибудь знает как их получить не для членов АДЭ? Спасибо.
на данный момент он утратил свою актуальность в связи с изменениями в 127-ПП и 236ой приказ ФСТЭК
2019 May 13
AL
Совершенно не согласен. В нормативном документе высокого уровня, как федеральный закон, и не должно быть каких-то упоминаний о необходимости формирования модели угроз, или чего-то подобного. Там сказано, что необходимо обеспечить безопасность обработки. В данном случае уместнее сказать о ПП-1119, в котором, однако, тоже нет явного упоминания о моделях угроз. Зато есть ряд признаком, по которым представляется возможным определить уровень защищенности обрабатываемых ПДн, исходя из актуальныхугроз и типа обрабатываемых ПДн. Подзаконные акты ФСТЭК и ФСБ уже говорят, СЗИ какого класса нам нужно использовать. И теперь внимание - как вы определите актуальные угрозы и потенциальных нарушителей безопасности обработки ПДн, без проведения соответствующего аудита, т.е. моделирования актуальных угроз, без формирования этой самой модели? Казалось бы, при чём тут ПДн? Мы же га канале о КИИ... При том, что подход к обеспечению безопасности объектов КИИ похож на ситуацию с ПДн (регуляторы ведь те же). Другое дело, что в приказе 239 явно указано про моделирование критические угроз для значимых объектов КИИ. И это не может не радовать, если таких объектов на предприятии нет. Другое дело может возникнуть резонный вопрос у регулятора: "А как определили, что угрозы не актуальны?" Комиссия собралась, ткнула пальцем в небо, и просто решила, что всё вообще не актуально?
Dmirtiy Вы действительно постарались "додумать" закон и под законные акты так, как вам представляется удобно, возможно, в силу определённых интересов - но закон есть закон. Обязательства создавать модель угроз нет, ровно как вы и говорили и в подзаконных актах (ПП-1119). Что касается методов определения актуальных угроз - вы отчасти правы, наше законодательство открывает большие возможности и удобные Инструменты для этих целей - и комиссии, и оценки экспертных сообществ, рекомендации регулятора и множество других.