A
Вы прочитали только название раздела? Там по тексту пишут про критические процессы, но нет никаких выкладок о том, какие объекты включать в перечень.
Size: a a a
2019 September 24
AL
Вы прочитали только название раздела? Там по тексту пишут про критические процессы, но нет никаких выкладок о том, какие объекты включать в перечень.
Пункты 4,5,6 не подходят?
A
А в Вашем понимании конкретный перечень объектов должен быть указан?
Общая конва там описана: определяем перечень ИС, ИТКС, АСУ ТП, которые задействованы в критических процессах (про процессы описано ранее), смотрим все ли эти объекты принадлежат субъекту, если не принадлежат - исключаем
Общая конва там описана: определяем перечень ИС, ИТКС, АСУ ТП, которые задействованы в критических процессах (про процессы описано ранее), смотрим все ли эти объекты принадлежат субъекту, если не принадлежат - исключаем
A
Пункты 4,5,6 не подходят?
Там даже раздел 7 с более точным названием не снимает тайны о том, какие объекты включать в Перечень.
AL
Позовите бизнес аналитика, он определит процессы, по процессам определите КИИ...
A
Artem
А в Вашем понимании конкретный перечень объектов должен быть указан?
Общая конва там описана: определяем перечень ИС, ИТКС, АСУ ТП, которые задействованы в критических процессах (про процессы описано ранее), смотрим все ли эти объекты принадлежат субъекту, если не принадлежат - исключаем
Общая конва там описана: определяем перечень ИС, ИТКС, АСУ ТП, которые задействованы в критических процессах (про процессы описано ранее), смотрим все ли эти объекты принадлежат субъекту, если не принадлежат - исключаем
Объект КИИ - это априори по закону та система или сеть, которая принадлежит субъекту КИИ. Вопрос в том, что включать в этот Перечень все, что принадлежит субъекту без разбора, или то, что принадлежит и обрабатывает критические процессы? Вот этого вопроса в методике Минэнерго и для операторов связи, кстати, не раскапывается. Ближе всего к этому подобрались в методичке от СтэпЛоджик.
AL
Да
AL
Давайте на примере лучше, теория без практики ненужная вещь
A
Давайте на примере лучше, теория без практики ненужная вещь
На практике, мы формировали Перечень из объектов КИИ, которые принадлежат и обрабатывают критические процессы. Т.е. у нас получился пласт объектов кии, подлежащих категориованию, и пласт объектов кии, которые не подлежали категориованию. Первые в свою очередь у нас могли поделиться на знаемые и незначимые.
Вот как-то так у нас получилось деление объектов КИИ:
https://t.me/bureaucraticsecurity/325
Вот как-то так у нас получилось деление объектов КИИ:
https://t.me/bureaucraticsecurity/325
A
Объект КИИ - это априори по закону та система или сеть, которая принадлежит субъекту КИИ. Вопрос в том, что включать в этот Перечень все, что принадлежит субъекту без разбора, или то, что принадлежит и обрабатывает критические процессы? Вот этого вопроса в методике Минэнерго и для операторов связи, кстати, не раскапывается. Ближе всего к этому подобрались в методичке от СтэпЛоджик.
В методике как раз написано, что включаются только те процессы, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов (стр 12)
Кроме того, в разделе 5 как раз говорится о критических процессах. Если нарушение процесса не может привести к последствиям, соответствующим показателям значимости, то в перечень объектов не включаются системы, автоматизирующие данные процессы
Кроме того, в разделе 5 как раз говорится о критических процессах. Если нарушение процесса не может привести к последствиям, соответствующим показателям значимости, то в перечень объектов не включаются системы, автоматизирующие данные процессы
AL
Т.е. отталкиваться нужно в первую очередь от процесса, а системы - это инструменты, которые в этом процессе используются.
A
Artem
В методике как раз написано, что включаются только те процессы, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов (стр 12)
Кроме того, в разделе 5 как раз говорится о критических процессах. Если нарушение процесса не может привести к последствиям, соответствующим показателям значимости, то в перечень объектов не включаются системы, автоматизирующие данные процессы
Кроме того, в разделе 5 как раз говорится о критических процессах. Если нарушение процесса не может привести к последствиям, соответствующим показателям значимости, то в перечень объектов не включаются системы, автоматизирующие данные процессы
В том то и дело, что критическими процессами оперирует и ПП-127. Но ни там, ни в методичке Минэнерго нет вывода, как эти процессы увязать с перечнем объектов кии, подлежащих категорированию. Эту увязку каждый сам делает для себя. А так как этого прямо сказано, то есть формалисты, которые смогут с бумажной точки зрения сказать (доказать), что если не написано, то значит, что это не так.
Поэтому я и сказал, что есть два подхода к формированию этого перечня. А уж какой кому выбрать - дело каждого.
Поэтому я и сказал, что есть два подхода к формированию этого перечня. А уж какой кому выбрать - дело каждого.
И
Dmitry Buzhor
Дело в том, что я напраляю перечень объектов в Минздрав и от меня требуют приложить методику по который мы выбрали объекты
В чате выкладывали метод рекомендации от различных минздравов. Там все предельно ясно и понятно. Главным действующим лицом всегда была комиссия. Именно Ваша внутренняя. Результат ее работы и будет необходимым основанием. А метолика-это мнение самих специалистов, привлекакмых самой комиссией
V
Коллеги, добрый день. Кто-нибудь уже дошёл до этапа подгтовки ОРД, можете поделиться проектами, шалонами документов?
2019 September 25
u
Коллеги, по объектам вопрос!
Может ли субъект КИИ не иметь объектов КИИ.
Кто-то сталкивался с такими примерами?
Может ли субъект КИИ не иметь объектов КИИ.
Кто-то сталкивался с такими примерами?
A
Нет, по закону субъект - это тот, у кого есть ИС,ИТС,АСУ, функционирующая в одной из 13 сфер. Т.е. у субъекта по формальному признаку априори должна быть система или сеть. Если таковой в собственности нет, то организация - не субъект.
Также по закону ИС,ИТС,АСУ субъекта - это объект КИИ.
Соответсвенно, субъекта КИИ без объектов КИИ быть не может.
Другой вопрос в том, что может быть субъект КИИ без объектов КИИ, подлежащих категорированию, но это зависит от того, как подходить к категорированию (вчера здесь обсуждалось).
Также по закону ИС,ИТС,АСУ субъекта - это объект КИИ.
Соответсвенно, субъекта КИИ без объектов КИИ быть не может.
Другой вопрос в том, что может быть субъект КИИ без объектов КИИ, подлежащих категорированию, но это зависит от того, как подходить к категорированию (вчера здесь обсуждалось).
u
Благодарю!
Ситуация такова - есть вуз, есть кафедры научно-исследовательские, есть аспирантура (которая с моей точки зрения является наукой, т.к. предполагает публикацию научных трудов).
И выходит что научные труды набираются на арм кафедры. Есть армы, на которых проводят вычисления для научных трудов.
И вот получается, что эти арм являются объектами КИИ?
Ситуация такова - есть вуз, есть кафедры научно-исследовательские, есть аспирантура (которая с моей точки зрения является наукой, т.к. предполагает публикацию научных трудов).
И выходит что научные труды набираются на арм кафедры. Есть армы, на которых проводят вычисления для научных трудов.
И вот получается, что эти арм являются объектами КИИ?
А
могут являться, если конечно утеря данных трудов ведет к какой-либо трагедии или непоправимому ущербу. В общем-то вам самим решать.
I
могут являться, если конечно утеря данных трудов ведет к какой-либо трагедии или непоправимому ущербу. В общем-то вам самим решать.
Страдания сотрудников можно считать за трагедию?
ИН
вопрос) есть ведомство и НИИ. Есть ГИС, который КИИ. На праве собственности принадлежит ведомству, но располагается на территории НИИ и админиться НИИ, кто по вашему должен осуществлять категорирование?