А
Есть и другой вариант, субъект КИИ есть, а объектов КИИ у него нету...
Это как?
Size: a a a
2019 October 31
S
Как именно, еще не знаю, но только сегодня очередные интеграторы звонили, типа такое делают и все ок.
DK
Как именно, еще не знаю, но только сегодня очередные интеграторы звонили, типа такое делают и все ок.
Ну, вам-то как банку такое точно не светит :)
DK
То есть интеграторы-то и не такое написать могут, ответственность не на них. А вот банк без автоматизации банковских процессов - это нонсенс :)
S
То есть интеграторы-то и не такое написать могут, ответственность не на них. А вот банк без автоматизации банковских процессов - это нонсенс :)
Понимаю, конечно, но что спорить с интеграторами....))
2019 November 01
МК
Это как?
Это вы составили перечень ОКИИ. Но после проведения категорирования пришли к выводу, что они все не значимые
AA
М К
Это вы составили перечень ОКИИ. Но после проведения категорирования пришли к выводу, что они все не значимые
Не обязательно на этапе категорирования, отсекаются ещё при формировании перечня критических процессов
МК
Andrey Allik
Не обязательно на этапе категорирования, отсекаются ещё при формировании перечня критических процессов
Тоже вариант
A
Есть и другой вариант, субъект КИИ есть, а объектов КИИ у него нету...
Это какой-то нонсенс. Если организация отнесла себя к субъекту КИИ, то для этого было какие-то формальное основание: либо наличие ИС/ИТС/АСУ из заветной сферы, либо обеспечение взаимодействия ИС/ИТС/АСУ из заветных сфер других организаций. Т.е. у организации-субъекта по умолчанию есть ИС/ИТС/АСУ. Соотвественно, опять же по формальному признаку, такая ИС/ИТС/АСУ станет объектом КИИ. Другой вопрос в том, что попадёт ли она в Перечень ОКИИ, подлежащих категорированию. Скорее всего этот вариант и передал неназванный интегратор.
Отсутствие ОКИИ, подлежащих категориованию, не освобождает от уголовной ответственности, и от необходимости взаимодействия с НКЦКИ.
Отсутствие ОКИИ, подлежащих категориованию, не освобождает от уголовной ответственности, и от необходимости взаимодействия с НКЦКИ.
S
Это какой-то нонсенс. Если организация отнесла себя к субъекту КИИ, то для этого было какие-то формальное основание: либо наличие ИС/ИТС/АСУ из заветной сферы, либо обеспечение взаимодействия ИС/ИТС/АСУ из заветных сфер других организаций. Т.е. у организации-субъекта по умолчанию есть ИС/ИТС/АСУ. Соотвественно, опять же по формальному признаку, такая ИС/ИТС/АСУ станет объектом КИИ. Другой вопрос в том, что попадёт ли она в Перечень ОКИИ, подлежащих категорированию. Скорее всего этот вариант и передал неназванный интегратор.
Отсутствие ОКИИ, подлежащих категориованию, не освобождает от уголовной ответственности, и от необходимости взаимодействия с НКЦКИ.
Отсутствие ОКИИ, подлежащих категориованию, не освобождает от уголовной ответственности, и от необходимости взаимодействия с НКЦКИ.
Интересно, и что это за такой отдельный перечень ОКИИ подлежащий категорированию? Его то же куда-то нужно направлять?
AV
Интересно, и что это за такой отдельный перечень ОКИИ подлежащий категорированию? Его то же куда-то нужно направлять?
Пункт 5г, пп127. Отправлять нужно.
A
Интересно, и что это за такой отдельный перечень ОКИИ подлежащий категорированию? Его то же куда-то нужно направлять?
Это Перечень из ПП-127. Его то и нужно отправить в ФСТЭК
S
Сначала. Есть субъекты КИИ, финансовые организации (лицензиаты ЦБ) попадающие под одну из 13 сфер деятельности 187-ФЗ, выделевшие, имеющиеся у них объекты КИИ, и морально готовые направить (или уже направившие) перечень этих объектов во ФСТЭК. И есть интегратор, который звонит в ИБ этих фиников и рассказывает, что умеет делать так, что у финансовой организации нет ни одного объекта КИИ.
S
Alexey Viktorovich
Пункт 5г, пп127. Отправлять нужно.
На память не помню, но скорее всего не соглашусь...т.к. обязательных сроков для негосов пока нет
NY
На память не помню, но скорее всего не соглашусь...т.к. обязательных сроков для негосов пока нет
Только если направили перечень, то 1 год для направления сведений о категорировании
AP
На память не помню, но скорее всего не соглашусь...т.к. обязательных сроков для негосов пока нет
Сроков нет, но это не значит, что не надо отправлять. Это значит что не могут прийти после дня Х и оштрафовать за неподачу. Но при этом, в случае чего, в расследовании "зачтется" и неподача перечня и все остальное.
DK
Сначала. Есть субъекты КИИ, финансовые организации (лицензиаты ЦБ) попадающие под одну из 13 сфер деятельности 187-ФЗ, выделевшие, имеющиеся у них объекты КИИ, и морально готовые направить (или уже направившие) перечень этих объектов во ФСТЭК. И есть интегратор, который звонит в ИБ этих фиников и рассказывает, что умеет делать так, что у финансовой организации нет ни одного объекта КИИ.
Да тут особо и уметь ничего не нужно. Пишется, что объекты, участвующие в критических процессах, не выявлены, во ФСТЭК ничего не отправляется.э Все прекрасно понимают, что это вранье, но наказания за это нет.
Будет работать до конца следующего года. Потом появятся штрафы в КоАП и полномочия ФСТЭК проверять процедуру категорирования, и за такие результаты можно будет влететь под административку.
Будет работать до конца следующего года. Потом появятся штрафы в КоАП и полномочия ФСТЭК проверять процедуру категорирования, и за такие результаты можно будет влететь под административку.
DK
В случае банка неправда - так-то бывает
A
Да тут особо и уметь ничего не нужно. Пишется, что объекты, участвующие в критических процессах, не выявлены, во ФСТЭК ничего не отправляется.э Все прекрасно понимают, что это вранье, но наказания за это нет.
Будет работать до конца следующего года. Потом появятся штрафы в КоАП и полномочия ФСТЭК проверять процедуру категорирования, и за такие результаты можно будет влететь под административку.
Будет работать до конца следующего года. Потом появятся штрафы в КоАП и полномочия ФСТЭК проверять процедуру категорирования, и за такие результаты можно будет влететь под административку.
Да, и вот тут вопрос: кто влетит? Интегратор? Субъект КИИ, нанявший интегратора (члены комиссии)?
M
Да, и вот тут вопрос: кто влетит? Интегратор? Субъект КИИ, нанявший интегратора (члены комиссии)?
Вся ответственность на субъекте КИИ. Штраф заплатит юридическое лицо.