Z
Чем тогда определяется негативность последствий? Где эти критерии??
Size: a a a
2019 May 23
A
ZAA
Чем тогда определяется негативность последствий? Где эти критерии??
К сожалению, критерия негативности нет. А значит здесь, на мой взгляд, двоякая ситуация: либо любое маломальски отрицательное последствие считать негативным, например, не выплату в бюджет 1 копейки, либо неким субъективным экспертным методом внутри комиссии по категориованию.
Z
вот как раз над этим и думаем сейчас. И как потом регулятором воспримется решение нашей комиссии - не понятно. И чем регулятор будет аргументировать, что мы приняли неверное решение....
A
ZAA
вот как раз над этим и думаем сейчас. И как потом регулятором воспримется решение нашей комиссии - не понятно. И чем регулятор будет аргументировать, что мы приняли неверное решение....
Я больше склоняюсь к действию по первому сценарию развития ситуации.
Z
первый сценарий это какой? Недополученная 1 копейка - это негативное последствие?
A
ZAA
первый сценарий это какой? Недополученная 1 копейка - это негативное последствие?
Да
Z
так себе )))
Д
Добрый день. Что писать в графе Наименование объекта КИИ при заполнении перечня объектов КИИ? В данном случае мы предоставляем услуги связи(интернет)
T
ZAA
вот как раз над этим и думаем сейчас. И как потом регулятором воспримется решение нашей комиссии - не понятно. И чем регулятор будет аргументировать, что мы приняли неверное решение....
А как эти данные получит регулятор. Ему предрставляеться информация по объектам, их категориям, о составе и т.д.
СИ
Добрый день. Что писать в графе Наименование объекта КИИ при заполнении перечня объектов КИИ? В данном случае мы предоставляем услуги связи(интернет)
Общим словом назовите ту кучу вашего железа, которое если рубануть по питанию, то у людей инет отвалится. чтонить типа коммуникационный узел или как там оно у вас называется.
Z
А как эти данные получит регулятор. Ему предрставляеться информация по объектам, их категориям, о составе и т.д.
Он может получить эти данные в случае расследования инцидента
В
Интересный вопрос на обязательное тестирование на проникновение в 239 приказе, сегодня разобрали - получился неплохой проект методички с опорой на 4 класс защиты СЗИ и конечно 15408 и 18045 двух поколений.
Следующий шаг корректировка с учётом новых требований доверия ФСТЭК России и ряда международных практик
Следующий шаг корректировка с учётом новых требований доверия ФСТЭК России и ряда международных практик
В
Так же разобрали NIST в свете 239 приказа, файлик сейчас выложу, буду благодарен коментариям
В
I
ZAA
Чем тогда определяется негативность последствий? Где эти критерии??
При категорировании необходимо исходить из того, что объект КИИ вышел их строя. Т.е. наихудший сценарий. Далее смотрим какой критерий значимости для этого подходит. Для транспорта подходит критерий 3.а и 3.б
Z
При категорировании необходимо исходить из того, что объект КИИ вышел их строя. Т.е. наихудший сценарий. Далее смотрим какой критерий значимости для этого подходит. Для транспорта подходит критерий 3.а и 3.б
Это Вы уже говорите про объект. И тут вопросов нет. А я говорю про критерии оценки критичности процесса. Это на шаг раньше определения объектов
T
ZAA
Это Вы уже говорите про объект. И тут вопросов нет. А я говорю про критерии оценки критичности процесса. Это на шаг раньше определения объектов
Их государство не предоставило, по-этому прмдумывайте сами. я за осонову брал критерии значимости и их адаптировал под оценку процессов.
I
ZAA
Это Вы уже говорите про объект. И тут вопросов нет. А я говорю про критерии оценки критичности процесса. Это на шаг раньше определения объектов
Критичность процесса оценивается экспертным путём и не привязана к критериям значимости. Рекомендую относить к критическим процессам те, нарушение которых может привести к экономическому ущербу организации. Т.е. это основные процессы из ОКВЭД, без которых деятельность организации встанет.
E
ЕК
Организация проводит медико-социальную экспертизу, относится ли она к субъектам КИИ?