AP
Ну это естественно.
К сожалению, не все так считают, как показывает практика. Что касается Вашего вопроса - это написано в ПП №127 п. 20 и 21, ФЗ №187 ст. 7 п. 12
Size: a a a
2019 June 03
K
Коллеги, приветствую! При категорировании, то есть до моделей угроз и злоумышленника, надо какие-нибудь расчёты делать? Или же чисто экспертная оценка и не более?
T
Konstantin
Коллеги, приветствую! При категорировании, то есть до моделей угроз и злоумышленника, надо какие-нибудь расчёты делать? Или же чисто экспертная оценка и не более?
Расчеты чего? Угроз? Значений показателей?
2019 June 04
АП
Andrei Potseluev
К сожалению, не все так считают, как показывает практика. Что касается Вашего вопроса - это написано в ПП №127 п. 20 и 21, ФЗ №187 ст. 7 п. 12
СПАСИБО
НД
Konstantin
Коллеги, приветствую! При категорировании, то есть до моделей угроз и злоумышленника, надо какие-нибудь расчёты делать? Или же чисто экспертная оценка и не более?
Добрый день, Константин
Если вы пишите про п. 6.2 ПФ236 ("основные угрозы" или что-то такое), то здесь необходимо назвать те виды угроз, которые вытекают из конфигурации объекта. Никакой конкретики здесь не предполагается. Только здравый смысл и логика. Пример-выписка:
1. Угрозы использования технологий виртуализации, к которым относятся:
- Угроза выхода процесса за пределы виртуальной машины;
- Угроза нарушения изоляции пользовательских данных внутри виртуальной машины;
- Угроза нарушения технологии обработки информации путём несанк-ционированного внесения изменений в образы виртуальных машин;
...
Если вы спрашиваете про расчет значений показателей критериев значимости (таблица в приложении к ПП127), то ответ следующий:
Разные показатели предполагают разные аргументы (в каких-то требуется аналитика и расчеты, в других - логика и документы). Так, например, п. 1 в социальных показателях необходимо мотивировать расчетами; п. 9 в экономической значимости необходимо мотивировать расчетами; п. 6 в политической значимости необходимо мотивировать нормативными документами, в которых определено распределение полномочий
Если вы пишите про п. 6.2 ПФ236 ("основные угрозы" или что-то такое), то здесь необходимо назвать те виды угроз, которые вытекают из конфигурации объекта. Никакой конкретики здесь не предполагается. Только здравый смысл и логика. Пример-выписка:
1. Угрозы использования технологий виртуализации, к которым относятся:
- Угроза выхода процесса за пределы виртуальной машины;
- Угроза нарушения изоляции пользовательских данных внутри виртуальной машины;
- Угроза нарушения технологии обработки информации путём несанк-ционированного внесения изменений в образы виртуальных машин;
...
Если вы спрашиваете про расчет значений показателей критериев значимости (таблица в приложении к ПП127), то ответ следующий:
Разные показатели предполагают разные аргументы (в каких-то требуется аналитика и расчеты, в других - логика и документы). Так, например, п. 1 в социальных показателях необходимо мотивировать расчетами; п. 9 в экономической значимости необходимо мотивировать расчетами; п. 6 в политической значимости необходимо мотивировать нормативными документами, в которых определено распределение полномочий
K
Добрый день, Константин
Если вы пишите про п. 6.2 ПФ236 ("основные угрозы" или что-то такое), то здесь необходимо назвать те виды угроз, которые вытекают из конфигурации объекта. Никакой конкретики здесь не предполагается. Только здравый смысл и логика. Пример-выписка:
1. Угрозы использования технологий виртуализации, к которым относятся:
- Угроза выхода процесса за пределы виртуальной машины;
- Угроза нарушения изоляции пользовательских данных внутри виртуальной машины;
- Угроза нарушения технологии обработки информации путём несанк-ционированного внесения изменений в образы виртуальных машин;
...
Если вы спрашиваете про расчет значений показателей критериев значимости (таблица в приложении к ПП127), то ответ следующий:
Разные показатели предполагают разные аргументы (в каких-то требуется аналитика и расчеты, в других - логика и документы). Так, например, п. 1 в социальных показателях необходимо мотивировать расчетами; п. 9 в экономической значимости необходимо мотивировать расчетами; п. 6 в политической значимости необходимо мотивировать нормативными документами, в которых определено распределение полномочий
Если вы пишите про п. 6.2 ПФ236 ("основные угрозы" или что-то такое), то здесь необходимо назвать те виды угроз, которые вытекают из конфигурации объекта. Никакой конкретики здесь не предполагается. Только здравый смысл и логика. Пример-выписка:
1. Угрозы использования технологий виртуализации, к которым относятся:
- Угроза выхода процесса за пределы виртуальной машины;
- Угроза нарушения изоляции пользовательских данных внутри виртуальной машины;
- Угроза нарушения технологии обработки информации путём несанк-ционированного внесения изменений в образы виртуальных машин;
...
Если вы спрашиваете про расчет значений показателей критериев значимости (таблица в приложении к ПП127), то ответ следующий:
Разные показатели предполагают разные аргументы (в каких-то требуется аналитика и расчеты, в других - логика и документы). Так, например, п. 1 в социальных показателях необходимо мотивировать расчетами; п. 9 в экономической значимости необходимо мотивировать расчетами; п. 6 в политической значимости необходимо мотивировать нормативными документами, в которых определено распределение полномочий
Николай, а можно поподробнее про п.9 экономическую значимость? Какие расчёты здесь применяются?
НД
Konstantin
Николай, а можно поподробнее про п.9 экономическую значимость? Какие расчёты здесь применяются?
Ответ привожу примером в сообщении выше
OV
Ответ привожу примером в сообщении выше
Николай, какие виды выплат по штрафам вы учитываете?
НД
Olesya Vlasenko
Николай, какие виды выплат по штрафам вы учитываете?
Скажу честно: в ПДКК был бухгалтер, который помог с расчетом данного показателя. Я точно знаю, что есть некоторый закон, который регламентирует сумму отчислений от выплат по штрафам в бюджет края. Какая часть идет в бюджет, что за закон, откуда взяты цифры мне неизвестно. Да и непосредственно процесс расчета этих цифр лежали на плечах бухгалтерии организации :)
JM
Кто в теме объектом кии же может быть противопожарная система безопасности?
А
Она является ис, итс или асу тп, реализующим критические процессы?
JM
Видимо является, если будет пожар накроется локалка, и как следствие не будет работать ис
А
Еще раз. Сама опс локалкой не является, баз данных в ней нет. И асу тп она тоже не является? Значит она не объект. Она одна из мер защиты, которые вы применяете к саоему объекту кии
А
Иначе можно каждый отдельный датчик начать учитывать как объект кии
JM
Алена
Еще раз. Сама опс локалкой не является, баз данных в ней нет. И асу тп она тоже не является? Значит она не объект. Она одна из мер защиты, которые вы применяете к саоему объекту кии
Ну если она не сработает, погибнут люди, будут жертвы, а это уже социальный показатель
JM
Больше потери одного человека это уже объект кии, 3 категория
V
тогда под кии попадают все опс :)
VV
Ну если она не сработает, погибнут люди, будут жертвы, а это уже социальный показатель
Люди погибнут от пожара, а не от опс
V
думается мне, к кии относятся только информационные системы, в которых обрабатываются данные, нарушение безопасности которых приводит к критическим последствиям в виде гибели или ущерба здоровья людей ну и остальные критерии "критичности