коллеги в контексте исходных данных для категорирования- котлы и турбины являются ОПО? или это обьекты электросетевого хозяйства и тогда исходных данных по ним для категорирования быть не может

Коллеги, добрый день. Что-то я уже совсем запуталась. Подскажите, пожалуйста, по последним приказам ФСБ. если объекты незначимые, то 282 приказ не распространяется на субъекта, а 281 будет являться обязательным? При условии, что субъект взаимодействие с ГосСОПКА осуществляет через третью организацию?

хорошо бы ответ на данный вопрос услышать от регулятора. Не совсем понятно для кого написаны эти приказы, для всех субъектов или для тех кто будет самостоятельно подключаться к НКЦКИ?

Меня смутило при беглом ознакомлении с 282 приказом, что в названии и области действия говорится про значимых, а в четвертом пункте,  оп, и уже появляются "иные объекты"

это если у вас есть и значимые и незначимые

Спасибо, с этой стороны я не смотрела на проблему

281 - да. По 282 даже внутри НКЦКИ нет однозначного понимания, какие именно средства, соответствующие приказу 196, на самом деле являются средствами ГосСОПКА. Этот вопрос ФСБ и ФСТЭК долго обсуждали между собой, до чего-то договорились, но в нормативных документах это решение не отражено.

Типичный пример - SIEM. С одной стороны, он часть системы безопасности значимого объекта, и его субъект устанавливает в рамках своей обязанности по 239му приказу. С другой стороны, он соответствует требованиям 196 и теоретически может считаться средством ГосСОПКА.

Поэтому отталкивайтесь от назначения средства в ваших условиях:

1. Если вы применяете его для исполнения требований ФСТЭК к значимому объекту регулятор для вас - ФСТЭК и никто другой не вправе требовать от вас чего-то дополнительного.

2. Если вы собираетесь сгружать события SIEMа в НКЦКИ в рамках информирования об инцидентах, приказы 282 и 196 относятся к вам в полный рост.

вопрос, как я понимаю был еще и:  При условии, что субъект взаимодействие с ГосСОПКА осуществляет через третью организацию?

Да. Если совсем коротко. Есть субъект, у него только незначимые объекты. И он подписался, что информацию об инцидентах передает через, любезно предложившего свою помощь регулятора. Надо нашему субъекту вникать в приказы 281 и 282?

Номера приказов путаю :)

В порядок информирования нужно вникать обязательно. Если ваш помощник накосячит, отвечать придется вам, потому что это ваша обязанность, а не помощника. В установку и эксплуатацию средств ГосСОПКА - не нужно, вы вообще не обязаны их устанавливать и эксплуатировать

Спасибо

Коллеги, подскажите ответственность в случае инцидента по 187ФЗ лежит на руководителе предприятия? Или сисадмина тоже притянут?

Скажем так, руководитель в ответе всегда. Даже если админ из корыстных побуждений сам проведет атаку в отношении администрируемого объекта. Руководитель в принципе несет ответственность за все, что творится на предприятии =кии, пожары, охрана труда, пдн....). Админ, если не был назначен приказом ответственным за безопасность, при определенных обстоятельствах тоже может попасть. Тут уже от конкретного случая и субъективной оценки следователя, прокурора и судьи может зависеть

И от внутренней нормативки, в которой может быть прямо оговорена ответственность

смотрите должностной регламент, там все прописано. Если нет, то Вам повезло))

См закон о пром. базопасности. В приложении указаны критерии по которым определяется класс.

Компетентные органы разберутся ....

Коллеги, вопрос про 282, а Dlp является средством обнаружения? А продвинутые проси?

Прокси

Мне кажется, из СЗИ придётся какую-либо SIEM прикручивать для Вашего ЗОКИИ.
План восстановления деятельности написать с учётом имеющегося ЗИП. Но это уже орг.меры.
Теоретически можно и без SIEM обойтись путём регулярного анализа журналов событий обойтись. Но это уже зависит от модели и потребует обоснования этой меры.