Возможно аудитор и прав, может имеющиеся специалисты не проходят по квалификации. Корочек нет.

Как я понял кии отдельно остальное ИБ отдельно

Это про требования, которые будут с 21-го года?

Т.е. если имеющиеся специалисты не подходят по требованиям, то назначаем подходящих из другого подразделения, не связанного с ИБ?

Кто не знает ИБ организации

Новый сотрудник с опытом

Действительно, с 21-го года будут определённые требования к работникам и руководителю подразделения по безопасности ЗОКИИ.  Но, во-первых, это отложенная норма и субъекты КИИ с ЗОКИИ могут нанять соответствующих работников либо обучить имеющихся. Во-вторых, пункт, что я привёл выше, не отменяется, а значит у такого субъекта КИИ будет выбор: создать отдельное подразделение по безопасности ЗОКИИ, либо образовать его внутри существующего подразделения по ИБ.

Добрый вечер. Подскажите в каком документе сказанно что сотрудник 1 отдела занимается только гос.тайной? Что нельзя его привлекать к работе над кии.

Нет, это не так. Запрещается возлагать на них функции, не связанные с ИБ. Больше ограничений нет.

Вы не можете назначить на это человека, не занимающегося вопросами ИБ - это прямо запрещено приказом 235

Дык, я про это и говорю, что либо отдельное подразделение, либо внутри подразделения по ИБ, а не как говорит аудитор или защищающий аудитора оратор.

Торможу. "Внутри" прочитал как "вне".

Коллеги, смотрите есть сеть асу тп - являющейся 3 кии, она соединена мэ (Cisco asa), из сети кии в сеть компаративную поступает информация технологическая, так же в сети кии есть сегмент дмз с серверами ( обновления антивируса, wsus), которые берут данные из корпоративной сети( обновления качают), и потом эти сервера обновляют рабочие станции на объекте кии. Это допускается? Или не должно быть вообще трафика входящего в сеть кии?

посмотрите 239 приказ ФСТЭК, там в мерах защиты указана нужная вам информация.

про физическую изоляцию речи не идет.

ФСТЭК не планирует диктовать, как именно вам защищаться. Есть мера защиты "Управление сетевыми потоками", как вы ее реализуете - дело ваше. Хотите - физическая изоляция с переносом данных на флешке. Хотите - VLAN и ACL. Хотите - однонаправленные потоки через инфодиоды. Главное, что вы периодически должны пентестами убеждаться, что ваше решение не обходится с полпинка.

Подправьте пожалуйста, если не права? В перечень на категорирование попадают те системы, для которых АКТУАЛЕН хоть один критерий значимости, без расчётов. А позже, в процессе считаем и некоторые ниже минимальной планки станут не значимыми. Если ни один критерий в принципе не актуален для АС, АСУ, сети - это вообще не ОКИИ и категорированию не подлежит?.

ст.7 187-ФЗ никаких исключений не предусматривает. Все ОКИИ должны быть прокатегорированы. Неприменимость показателя приводит исключительно к отнесению такого ОКИИ к незначимым.

Строго говоря, в перечень должно попасть все стстемы. Но с учётом нынешней активности субъектов, если вы включите в перечень хотя бы те системы, которые для которых теоретически подходит хоть один показатель, то вы уже молодцы.

Но ведь ФСТЭК просило не включать в перечни 1С системы, АМБА и подобные, нарушение которых не остановит процесс.