Опять же, выполнение требований регулятора - не самоцель.

Если субъект уверен, что лучше регулятора знает, как избежать тех самых резонансных инцидентов - да и флаги ему в руки. Да, есть риск ошибиться. В этом случае инцидент приведет сперва к прямому ущерба субъекта, и только потом, может быть, довеском - к уголовной статье для отдельных самонадеянных товарищей.

Т. е. цель этой статьи - заставить задуматься тех, кто к вопросам безопасности относится по принципу "ну раньше-то ничего подобного не случалось - и теперь не случится"

Дмитрий, есть только правовая тонкость - ФСТЭ выпускает требования (описывает меры), но не выпустила правила. Сравни с Правилами противопожарного режима в Российской Федерации или Правила устройства электроустановок. Разный уровень документов.

Хм. Можно подумать, что ты не читал методические рекомендации Генпрокуратуры по статье 274 УК РФ :) Уверен, читал:

"Правила, о которых идет речь ..., содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации..., договорах, соглашениях и иных официальных документах".

"Правила" - это не вид документа, а установленные любым образом обязанности конкретного человека по отношению к конкретному объекту.

читал, вс еправильно. Еще там есть важное уточнение - "Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет не существует." .  Вот эти инструкции и правила и описывают как требования ФСТЭК должны быть выполнены на конкретном ОКИИ в конкретном субъекте КИИ.  И уголовка предусмотрена за нарушение правил, утвержденных руководителем субъекта КИИ,а не руководителем ФСТЭК. Более того, требования ФСТЭК исключительно к ЗОКИИ, а уголовка для всех предусмотрена.

Твой вывод противоречит методрекомендациям:

1. Правила содержатся в документах, утвержденных руководителем субъекта
2. Правила могут содержаться в ГОСТах, которые утверждает ни разу не руководитель субъекта.

Это противоречие говорит, что одно из утверждение неверно. Я склонен считать, что неверно именно первое утверждение :)

В методрекомендациях ничего не говорится о руководителе организации. В твоей цитате говорится о лице, правомочном устанавливать правила. Есть "иной официальный документ" (приказ ФСТЭК), устанавливающий обязанности субъекта КИИ. Они установлены правомочным лицом - директором ФСТЭК. Обязанность субъекта исполнять эти правила никем не оспаривается.

Такая трактовка, в отличие от твоей, полностью соответствует позиции Генпрокуратуры :)

Дмитрий,а мы с тобой точно об одном кейсе беседуем? Я пишу про случай, когда субъект КИИ не выпустил никакогой ОРД по выполнению приказов ФСТЭК на ЗОКИИ. И случился серьезный КИ, повлекший вопрос  возбуждения уголовного дела. Кому будем вменять нарушение требований приказов ФСТЭК? Директору? эксплуатирующему персоналу или кому?

Посмотри обзор судебной практики ВС РФ по пожарке. Там все то же самое:

1. Правила - ни фига не "Правила пожарной безопасности", а весь комплекс законов, стандартов, инструкций, касающихся пожарной безопасности. И утвержденных субъектом, и утвержденных регуляторами.

2. Отвечает тот, кто нарушил правила, в зависимости от того, какие правила нарушены.

Посмотри приговор 1-155/2014 1-18/2015 от 29 мая 2015. Директор формально назначил ответственного за пожарную безопасность. Ответственного не обучили, он, соответственно, ни фига не делал. Директор получил 4 года условно: он не обеспечил надлежащие условия для выполнения ответственным за пожарку своих обязанностей, и поэтому сам отвечает за последствия.

В 274.1 в случае несоблюдения обязательных внешних требований все будет аналогично.

В пожарке нет вариантов в том ключе, что вы сами посмотрите на риски при пожаре, разработайте и утвердите меры. Там все четко и без вариантов. А когда ответственный из-за нехватка знаний утвердил, что угроза неактуальна и не стал разрабатывать и внедрять соответствующие меры, а в приказах ФСТЭК или иной нормативке нет четкого "должен", то это уже другая история.
Но, конечно, все в суде может быть иначе)

А это вопрос ответственности регуляторов. Они не хотят её брать на себя и выпускают требования и меры.

Требуется ли сертификация серверов и СХД, используемых для развёртывания серверных компонент СЗИ (SIEM, антивируса, сканера безопасности и т.д.)?

НМД на ЗОКИИ не требуется.
Но если Вы используете сертифицированные СЗИ, то, на всякий случай, проверьте требования в формуляре.

Вот не надо вот этого вот :) Раздел 13 приказа 239 - это требования, которые от модели угроз не зависят.

Независимо от модели угроз субъект "четко должен" устанавливать обновления (по своему выбору), анализировать уязвимости и подтверждать достаточность установленных обновлений пентестом. Он или делает эти телодвижения, или не делает, тут невозможно быть слегка беременным.

Если делает, но облажался - да, возможны варианты. Но тех, кто делает, в этом чате можно по пальцам пересчитать :)

Если вам требуются именно сертифицированные СЗИ, то им требуются или сертифицированные операционки, или операционки с наложенными сертифицированными СЗИ НСД. Конкретные модели действительно приписываются в формуляре.

Дмитрий, вы хотите делить на черное и белое, пусть так. Реальная ситуация будет по факту в судах уже, а ,там, к сожалению, все чаще трэш.
По этой теме тут продолжать уже будет скорее флейм, так что завершаю, спасибо

Не я, а уголовное право :) Подсудимый признается или виновным, или невиновным, полутонов не бывает. Как при наихудшем для субъекта раскладе будет представлять дело обвинение, я описал. А дальше сами решайте, что с этим делать

Каждое обновление пен-тестить денег на пен-тестеров не напасёшься. Может сканером пройтись будет достаточно?

Ну как так-то? Там написано и что такое пентест, и кто определяет периодичность проведения анализа уязвимостей :)

Нет, не каждое обновление и нет, сканером недостатосно. За подробностями прошу обращаться к п. 13.2 и 12.6 соответственно :)

Перефразирую: предъявляются ли требования к сертификации серверного/СХД железа, которое используется для развёртывания серверных компонент СЗИ?

Нет, именно для железа требований по сертификации нет.

Господа - такая проблема. Есть подрядчики , которые в силу своей деятельности должны или хотят для выполнения своих функция, иметь доступ удаленный на администрирование систем которые они установили. Фстек на форуме сказал что удаленный доступ может быть только на мониторинг...  Как быть с этим? кто успешно внедрил какое-нибудь решение? Зоны DMZ с VPN  - ну не подходят. сервера технологические и стоят в общей сетке..