V
Или вы категорируете объект, ему будет соответствует какая-либо категория, а в результатах вы напишете что ОРД, сзи, модели угроз у вас нет потому что это итерационный процесс ?
у вас еще нет ЗОКИИ. Вы еще не обязаны ничего иметь
Size: a a a
2019 October 04
С
у вас не 5-10 дней. Побольше будет. Но все равно маловато. Я оцениваю срок создания СБ ЗОКИИ в 3 года. Пока наказания нет, но ФСТЭК очень хочет ввести.
Ну в соответствии с фз там четко указано количество дней, за которое вы должны переделать документ и обратно выслать
V
Ну в соответствии с фз там четко указано количество дней, за которое вы должны переделать документ и обратно выслать
еще ФСТЭК должен в реестр внести и вас уведомить
DK
Я вам про фз говорю, в котором написано, что у вас год на подачу результатов категорирования по утверждённой форме, а в этой форме необходимо предоставить очень много информации
Но не надо при этом говорить об обязанности в тот же год создать систему зашиты.
Согласно ФЗ субъект должен создать систему защиты в соответствии с требованиями ФСТЭК.В требованиях ФСТЭК (приказ 235, последний раздел) написано, что система зашиты создается методом последовательного улучшения годовыми (а по решению субъекта - и более длительными) итерациями до тех пор, пока субъект КИИ не решит, что она создана и не подтвердит это в ходе приемки.
Срок создания системы защиты не устанавливается ни законом, ни требованиями ФСТЭК.
Согласно ФЗ субъект должен создать систему защиты в соответствии с требованиями ФСТЭК.В требованиях ФСТЭК (приказ 235, последний раздел) написано, что система зашиты создается методом последовательного улучшения годовыми (а по решению субъекта - и более длительными) итерациями до тех пор, пока субъект КИИ не решит, что она создана и не подтвердит это в ходе приемки.
Срок создания системы защиты не устанавливается ни законом, ни требованиями ФСТЭК.
С
у вас еще нет ЗОКИИ. Вы еще не обязаны ничего иметь
Вы видели форму предоставления сведений?
DK
Вы видели форму предоставления сведений?
Это сведения о состоянии системы на момент категорирования, а не доклад о готовности системы защиты.
В этой форме вы можете честно написать, что на данный момент вот такие меры защиты не реализованы - это тоже сведения, соответствуюшие форме
В этой форме вы можете честно написать, что на данный момент вот такие меры защиты не реализованы - это тоже сведения, соответствуюшие форме
С
Так вам не кажется, что год даётся не просто для того, чтобы заполнить форму
V
Вы видели форму предоставления сведений?
конечно. И даже метреки написал по ее заполнению. https://valerykomarov.blogspot.com/2019/09/blog-post_24.html
DK
Так вам не кажется, что год даётся не просто для того, чтобы заполнить форму
Я совершенно точно знаю, что год дается на то, чтобы определить категорию значимости. До момента определения категории значимости вы вообще не можете создать систему защиты, потому что требования к ней определяются той самой категорией :)
AA
Коллеги, как вы представляете писать орд на объект кии без присвоенной категории? Максимум вы можете подготовить проекты орд, а после присвоения, отправления сведений и согласования информации запустить их утверждение...
С
Я не думаю, что комиссии, в которую входят компетентные специалисты, полностью понимающие свою систему, будут год думать какую категорию присвоить
DK
Я не думаю, что комиссии, в которую входят компетентные специалисты, полностью понимающие свою систему, будут год думать какую категорию присвоить
А это их личное дело :) В законе говорится, что у них на это есть год. Есть, например, субъекты, которым ща этот год нужно категорировать десятки тысяч объектов :)
С
В общем, моя логика следующая, организация передаёт перечень объектов, комиссионно принимает решение о присвоении той или иной категории, исходя из требований к защите начинает работу по разработке орд, закладывает бюджет на сзи, и как только все выстраивается отправляет сведения, на это , по моему мнению и даётся год
V
В общем, моя логика следующая, организация передаёт перечень объектов, комиссионно принимает решение о присвоении той или иной категории, исходя из требований к защите начинает работу по разработке орд, закладывает бюджет на сзи, и как только все выстраивается отправляет сведения, на это , по моему мнению и даётся год
токо срок отправки форму уведомления привязан к решению комиссии
DK
В общем, моя логика следующая, организация передаёт перечень объектов, комиссионно принимает решение о присвоении той или иной категории, исходя из требований к защите начинает работу по разработке орд, закладывает бюджет на сзи, и как только все выстраивается отправляет сведения, на это , по моему мнению и даётся год
Внимательно почитайте постановление 127. Для новой системы вы обязаны начать категорирование системы не позже того момента, когда будет утверждено ТЗ на саму систему. С этого момента есть год на то, чтобы поисвоить ей категорию. Сама система может быть создана через десять лет. И если вы считаете, что при этом ее система защиты должна быть создана к моменту завершения категорирования, значит, вы ошибаетесь - так не бывает :)
С
Внимательно почитайте постановление 127. Для новой системы вы обязаны начать категорирование системы не позже того момента, когда будет утверждено ТЗ на саму систему. С этого момента есть год на то, чтобы поисвоить ей категорию. Сама система может быть создана через десять лет. И если вы считаете, что при этом ее система защиты должна быть создана к моменту завершения категорирования, значит, вы ошибаетесь - так не бывает :)
Думаю мы с вами на разных языках общаемся
DK
Думаю мы с вами на разных языках общаемся
Думаю, да :) Я - на языке нормативных документов. А вы? :)
DK
Коллеги, я понимаю, что пятница и все такое, но давайте аккуратно и уважительно относиться к нормам права.
Напоимер, если норма требует, чтобы субъект завершил категорирование не позже, чем через год, то это означает только то, что не позже, чем через год он обязан завершить категорирование. Вы можете считать, что в течение этого года целесообразно закончить создание системы защиты, но не нужно утверждать, что это требует та самая норма. Она этого не требует.
Напоимер, если норма требует, чтобы субъект завершил категорирование не позже, чем через год, то это означает только то, что не позже, чем через год он обязан завершить категорирование. Вы можете считать, что в течение этого года целесообразно закончить создание системы защиты, но не нужно утверждать, что это требует та самая норма. Она этого не требует.
С
Так никто не говорит, что так прописано, изначально и был задан вопрос, каким образом поступить, и в конце я высказал исключительно своё мнение
С
Если бы все было прописано, то и вопросов не возникало