КИ
Нет ли примера плана тренировок по отработке мероприятий плана реагирования на компьютерные инциденты?
Size: a a a
2020 February 20
МС
не подскажете в каком документе сказано о запрете управления из вне асутп
V
П.31 приказа ФСТЭК № 239 от 25.12.2017г.: "В значимом объекте не допускаются: наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры; наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры; передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе средств защиты информации, или иным лицам без контроля со стороны субъекта критической информационной инфраструктуры"
МС
благодарю
ИВ
Коллеги! Раз тема зашла про удаленный доступ, прошу совета в ситуации с локальной системой оповещения. Объект значимый по 1 критерию. Но особенности следующие. Сама система собственность предприятия. Подключена к ЕДДС города. Технически заложена функция удаленного обновления, с верхнего звена. Кроме VPN ничего нет. Как описывать контроль действий сторонней организации?
А
http://d-russia.ru/prezident-poruchil-fsb-udelit-osoboe-vnimanie-zashhite-kriticheskoj-informacionnoj-infrastruktury.html
Президент поручил ФСБ уделить особое внимание защите КИИ
Президент поручил ФСБ уделить особое внимание защите КИИ
u
Коллеги добрый день, подскажите в каком приказе/фз прописано что ЗО КИИ должно заниматься не менее 2х человек .
A
Коллеги добрый день, подскажите в каком приказе/фз прописано что ЗО КИИ должно заниматься не менее 2х человек .
Такого требования нет.
u
Такого требования нет.
Возможно ошибаюсь, но где то отчётливо слышал что для обеспечения ИБ ЗО КИИ должно быть не 2х лиц
TK
Возможно имеются в виду требования к квалификации руководителя и работника отдела, обеспечивающего безопасность кии.. Но они не обязаны присутствовать оба, да и требования пока не вступили в силу
DK
Коллеги добрый день, подскажите в каком приказе/фз прописано что ЗО КИИ должно заниматься не менее 2х человек .
Нет. Четко говорится "выделенный сотрудник или подразделение".
DK
Если точнее:
"10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности)."
Хотя "работников" здесь упоминается во множественном числе, это может быть и один человек. Главное, чтобы он мог выполнять функции, указанные в этом жеипункте
"10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности)."
Хотя "работников" здесь упоминается во множественном числе, это может быть и один человек. Главное, чтобы он мог выполнять функции, указанные в этом жеипункте
NY
Если точнее:
"10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности)."
Хотя "работников" здесь упоминается во множественном числе, это может быть и один человек. Главное, чтобы он мог выполнять функции, указанные в этом жеипункте
"10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности)."
Хотя "работников" здесь упоминается во множественном числе, это может быть и один человек. Главное, чтобы он мог выполнять функции, указанные в этом жеипункте
А ка тогда соблюдать сменяемость в плане отпуска
DK
Nick Y
А ка тогда соблюдать сменяемость в плане отпуска
Посмотрите перечень функций. Там нет ничего, что требовало бы непрерывной 40часовой рабочей недели.
АС
Посмотрите перечень функций. Там нет ничего, что требовало бы непрерывной 40часовой рабочей недели.
Тем не менее там написано, что назначенный сотрудник должен заниматься только обеспечением безопасности КИИ
DK
Тем не менее там написано, что назначенный сотрудник должен заниматься только обеспечением безопасности КИИ
Во-первых, не только - может и другими вопросами ИБ.
Во-вторых, в КИИ - именно теми функциями, которые там перечислены в п. 10. "Обеспечение" - понятие расплывчатое: руководящих пенделей раздал, отдохнул, по возвращении проверил - это тоже обеспечение. Собственно исполнением могут заниматься другие, в том числе - аутсорсеры. А все остальные функции - эпизодическая деятельность
А дальше каждый субъект сам решает, кого и в каком количестве на выполнение этих функций выделить
Во-вторых, в КИИ - именно теми функциями, которые там перечислены в п. 10. "Обеспечение" - понятие расплывчатое: руководящих пенделей раздал, отдохнул, по возвращении проверил - это тоже обеспечение. Собственно исполнением могут заниматься другие, в том числе - аутсорсеры. А все остальные функции - эпизодическая деятельность
А дальше каждый субъект сам решает, кого и в каком количестве на выполнение этих функций выделить
А@
Если у субъекта ЗОКИИ - распределенная система с подразделениями безопасности в разных городах, то ответственным зо обеспечение безопасности ЗОКИИ нужно назначать только одного человека или возможно назначение ответственных в каждой территории?
DK
Если у субъекта ЗОКИИ - распределенная система с подразделениями безопасности в разных городах, то ответственным зо обеспечение безопасности ЗОКИИ нужно назначать только одного человека или возможно назначение ответственных в каждой территории?
Как сами решите. Разумно назначить в каждом городе свое подразделение и куратора в центре
vt
И не может быть назначен уже из сотрудников ИБ, необходим новый. Говорил аудитор из внесений в изменений какого-то приказа она это дёрнула, добавила "как это будет устроено, мы посмотрим". Перед НГ было дело
A
И не может быть назначен уже из сотрудников ИБ, необходим новый. Говорил аудитор из внесений в изменений какого-то приказа она это дёрнула, добавила "как это будет устроено, мы посмотрим". Перед НГ было дело
Очень похоже, что аудитор ошибся. Как раз этот товарищ и может оказаться из ИБ, так как эти функции можно совместить.