YS
Но как сослаться на нормативку или официальные комментарии?
Size: a a a
2019 July 23
PK
Yu Sha
Испдн.
Неа)
YS
Неа)
В том то и вопрос, на который хочу ответить, когда он встанет: "чем докажешь?"
DK
Yu Sha
В том то и вопрос, на который хочу ответить, когда он встанет: "чем докажешь?"
Ничем. Доказать можно только наличие требования, доказать отсутствие чего либо невозможно.
В 239м приказе явно указано: сертификация или альтернатива. В 21м написано "прошедших в установленном порядке процедуру оценки соответствия". ФЗ "О техническом регулировании" устанавливает несколько процедур оценки соответствия, одна из них - "декларирование соответствия на основе самостоятельно собранных свидетельств". Собственно, испытания и приемка по приказу 239 - это тоже "декларирование соответствия".
Поэтому правильный ответ: для КИИ+ИСДН применение сертифицированных СЗИ необязательно, но прямого указания на это в нормативке нет
В 239м приказе явно указано: сертификация или альтернатива. В 21м написано "прошедших в установленном порядке процедуру оценки соответствия". ФЗ "О техническом регулировании" устанавливает несколько процедур оценки соответствия, одна из них - "декларирование соответствия на основе самостоятельно собранных свидетельств". Собственно, испытания и приемка по приказу 239 - это тоже "декларирование соответствия".
Поэтому правильный ответ: для КИИ+ИСДН применение сертифицированных СЗИ необязательно, но прямого указания на это в нормативке нет
2019 July 24
ДК
Могу предложить обсудить такой момент. Раннее я писал, что никто не запрещает посмотреть объекты КИИ по критериям значимости до формирования списка и последующей отправки во ФСТЭК. Хотя бы выбрать по каким критериям работать, а какие отбросить, ибо они никак не относятся к деятельности субъекта. Alexxiel ответил, что это не правильно, обосновав ответ алгоритмом категорирования.
Пример. В больнице есть несколько ИС, которые ей принадлежат, они нужны для получения средств от фондов страхования. Для больницы это скорей всего критический процесс. Но в критериях нет пункта, по которому им можно будет рассчитать категорию значимости (по первому пункту экономической значимости, в потери прибыли нет бюджетных учреждений). Какой вариант, по вашему мнению, будет правильным:
1. Подать список во ФСТЭК. При категорировании, основываясь на отсутствии критерия, присвоить объектам статус незначимых ОКИИ.
2. Предварительно поверхностно пройтись своими ИС по критериям значимости. Увидев что параметров, по которым рассчитывается категория, для них нет и не включать их в список вообще.
Пример. В больнице есть несколько ИС, которые ей принадлежат, они нужны для получения средств от фондов страхования. Для больницы это скорей всего критический процесс. Но в критериях нет пункта, по которому им можно будет рассчитать категорию значимости (по первому пункту экономической значимости, в потери прибыли нет бюджетных учреждений). Какой вариант, по вашему мнению, будет правильным:
1. Подать список во ФСТЭК. При категорировании, основываясь на отсутствии критерия, присвоить объектам статус незначимых ОКИИ.
2. Предварительно поверхностно пройтись своими ИС по критериям значимости. Увидев что параметров, по которым рассчитывается категория, для них нет и не включать их в список вообще.
А
Я опираюсь на первый вариант. Причина проста. У вас есть несколько ис. Все обеспечивают критический процесс. Но под критерии попадает только одна. Никто не отменяет вероятность проникновения из этих ис в ту, что попадает под критерии. Если только она вообще физически не изолирована от остальных ис. Поэтому все указать в перечне, потом оценить по критериям. И в акте указать, что вот эти ис признаны незначимыми (но задействованы в критическом процессе), потому что каждый критерий к ним не применим. И показать почему. А вот эта, хоть и попадает под критерии, но тоже не значимая (например, потому что ущерб ниже минимального порога) ну, или значимая, в зависимости от результатов оценки
ДК
Алена
Я опираюсь на первый вариант. Причина проста. У вас есть несколько ис. Все обеспечивают критический процесс. Но под критерии попадает только одна. Никто не отменяет вероятность проникновения из этих ис в ту, что попадает под критерии. Если только она вообще физически не изолирована от остальных ис. Поэтому все указать в перечне, потом оценить по критериям. И в акте указать, что вот эти ис признаны незначимыми (но задействованы в критическом процессе), потому что каждый критерий к ним не применим. И показать почему. А вот эта, хоть и попадает под критерии, но тоже не значимая (например, потому что ущерб ниже минимального порога) ну, или значимая, в зависимости от результатов оценки
Интересное мнение. Со слов статистов, потеря данных для фондов это катастрофа, но так ли на самом деле. Эти ИС физически отделены от ИС, обеспечивающие основную деятельность - лечение. ИС для основной деятельности - это ГИС, находящиеся в другом городе. Поэтому я думал, что 2-й вариант.
D
Дмитрий Колгунов
Могу предложить обсудить такой момент. Раннее я писал, что никто не запрещает посмотреть объекты КИИ по критериям значимости до формирования списка и последующей отправки во ФСТЭК. Хотя бы выбрать по каким критериям работать, а какие отбросить, ибо они никак не относятся к деятельности субъекта. Alexxiel ответил, что это не правильно, обосновав ответ алгоритмом категорирования.
Пример. В больнице есть несколько ИС, которые ей принадлежат, они нужны для получения средств от фондов страхования. Для больницы это скорей всего критический процесс. Но в критериях нет пункта, по которому им можно будет рассчитать категорию значимости (по первому пункту экономической значимости, в потери прибыли нет бюджетных учреждений). Какой вариант, по вашему мнению, будет правильным:
1. Подать список во ФСТЭК. При категорировании, основываясь на отсутствии критерия, присвоить объектам статус незначимых ОКИИ.
2. Предварительно поверхностно пройтись своими ИС по критериям значимости. Увидев что параметров, по которым рассчитывается категория, для них нет и не включать их в список вообще.
Пример. В больнице есть несколько ИС, которые ей принадлежат, они нужны для получения средств от фондов страхования. Для больницы это скорей всего критический процесс. Но в критериях нет пункта, по которому им можно будет рассчитать категорию значимости (по первому пункту экономической значимости, в потери прибыли нет бюджетных учреждений). Какой вариант, по вашему мнению, будет правильным:
1. Подать список во ФСТЭК. При категорировании, основываясь на отсутствии критерия, присвоить объектам статус незначимых ОКИИ.
2. Предварительно поверхностно пройтись своими ИС по критериям значимости. Увидев что параметров, по которым рассчитывается категория, для них нет и не включать их в список вообще.
Вы критичность процесса определяете по тем же критериям, что и категорируете объекты, только безотносительно масштаба ущерба, а просто по факту его наличия. Поэтому рассуждения непонятны
ДК
Возможный критический процесс обеспечивается работой одной ИС. Эта ИС объект, которым владеет субъект. Этот объект оценивается по критериям.
ДК
Но скорей всего этот вопрос надо задавать Минздраву.
A
Дмитрий Колгунов
Могу предложить обсудить такой момент. Раннее я писал, что никто не запрещает посмотреть объекты КИИ по критериям значимости до формирования списка и последующей отправки во ФСТЭК. Хотя бы выбрать по каким критериям работать, а какие отбросить, ибо они никак не относятся к деятельности субъекта. Alexxiel ответил, что это не правильно, обосновав ответ алгоритмом категорирования.
Пример. В больнице есть несколько ИС, которые ей принадлежат, они нужны для получения средств от фондов страхования. Для больницы это скорей всего критический процесс. Но в критериях нет пункта, по которому им можно будет рассчитать категорию значимости (по первому пункту экономической значимости, в потери прибыли нет бюджетных учреждений). Какой вариант, по вашему мнению, будет правильным:
1. Подать список во ФСТЭК. При категорировании, основываясь на отсутствии критерия, присвоить объектам статус незначимых ОКИИ.
2. Предварительно поверхностно пройтись своими ИС по критериям значимости. Увидев что параметров, по которым рассчитывается категория, для них нет и не включать их в список вообще.
Пример. В больнице есть несколько ИС, которые ей принадлежат, они нужны для получения средств от фондов страхования. Для больницы это скорей всего критический процесс. Но в критериях нет пункта, по которому им можно будет рассчитать категорию значимости (по первому пункту экономической значимости, в потери прибыли нет бюджетных учреждений). Какой вариант, по вашему мнению, будет правильным:
1. Подать список во ФСТЭК. При категорировании, основываясь на отсутствии критерия, присвоить объектам статус незначимых ОКИИ.
2. Предварительно поверхностно пройтись своими ИС по критериям значимости. Увидев что параметров, по которым рассчитывается категория, для них нет и не включать их в список вообще.
Второй вариант - хитрость. ФСТЭК интересны и незначимые ОКИИ, так как регулятор заложил в законодательстве возможность перехода ЗОКИИ в незначимые и наоборот. Произойти это может в ходе пересмотра результатов категориования, которое необходимо осуществлять всякий раз при внесении изменений в показатели критериев значимости.
ДК
Второй вариант - хитрость. ФСТЭК интересны и незначимые ОКИИ, так как регулятор заложил в законодательстве возможность перехода ЗОКИИ в незначимые и наоборот. Произойти это может в ходе пересмотра результатов категориования, которое необходимо осуществлять всякий раз при внесении изменений в показатели критериев значимости.
Предположим такой сценарий: вышли правки к постановлению правительства, и бюджетные учреждения включат в экономический критерий.
Хм, тогда и правда есть смысл подать эти данные во ФСТЭК. На сколько я помню правки в критерий уже вносились (там была ошибка в определении диапазона значений).
Хм, тогда и правда есть смысл подать эти данные во ФСТЭК. На сколько я помню правки в критерий уже вносились (там была ошибка в определении диапазона значений).
ДК
А есть ли тут кто категорировал фонды? С ними вроде тоже есть проблемы с определением по каким критериям оценивать их объекты и есть ли они.
S
Дмитрий Колгунов
А есть ли тут кто категорировал фонды? С ними вроде тоже есть проблемы с определением по каким критериям оценивать их объекты и есть ли они.
Какие именно фонды?
ДК
Какие именно фонды?
У нас в России, насколько я помню, пенсионные, мед. страхования, соц. страхования. Причем есть как государственные так и негосударственные (у пенсионных точно есть).
S
Тема актуальная, но есть ощущение, что пока не брались...
ДК
Помню смотрел презентацию одной компании, которая занимается инф. безопасностью. Они рассказывали, что когда им задали вопрос про фонды, никто толком не смог их отнести, даже по моему, к сферам деятельности указанных в законе.
ДК
Мне интересно, ничего не изменилось ли в этом мнении.
НД
Дмитрий Колгунов
Помню смотрел презентацию одной компании, которая занимается инф. безопасностью. Они рассказывали, что когда им задали вопрос про фонды, никто толком не смог их отнести, даже по моему, к сферам деятельности указанных в законе.
Разве они не относятся к "иным сферам финансового рынка"?
DK
Немножко в тему категорирования
https://www.anti-malware.ru/analytics/Threats_Analysis/categorize-critical-information-infrastructure-systems
https://www.anti-malware.ru/analytics/Threats_Analysis/categorize-critical-information-infrastructure-systems