За вас категорию назначат если чё ;)

Вроде нет тут ещё ссылки.
Кто про удалённый доступ спрашивал?

Доработанный текст по итогам общественного обсуждения 239

https://regulation.gov.ru/projects/List/AdvancedSearch#departments=48&npa=99311

Минэкономразвитие не согласовало законопроект по введению административной ответственности за невыполнение 187-ФЗ в КоАП. Оформлен отрицательный отзыв на законопроект. https://t.me/ruporsecurite/428

Можно и дальше сидеть и ничего не делать :)

Можно подумать, смешные штрафы кого-то напугают. При десятках миллионов, необходимых на приведение системы защиты ЗОКИИ в соответствие требованиям, штраф в 100 т.р. - ваще ничем.

Основной драйвер - это уголовка по 274.1 и гражданская ответственность за последствия инцидента. Уголовку боятся, а гражданская ответственность по 1079 ГК РФ - это могут быть и сотни миллионов.

Основной драйвер - это не уголовное преследование, а перезачет налогов при покупке отечественных СКЗИ, что у нас и близко не обсуждается

СКЗИ - это доли процента от капзатрат на создание системы защиты. Перещачет налогов от них статистически неотличим от нуля. Поэтому и не обсуждается

Ивашко А.М. теперь первый заместитель руководителя НТС ФСБ, а не заместитель руководителя НТС-начальник Центра защиты информации и специальной связи ФСБ России. Кто теперь руководитель 8 Центра и НКЦКИ?

Добрый день.
Возник вопрос - какие требования действуют на сегодняшний день для разработчика ПО, если ПО планируется использовать в составе АИС на объекте КИИ?

Конечно, вы правы! Я в другом чатике про криптошлюзы написал и здесь вместо СИБ (средств) "очепятался" как СКЗИ :) Речь о другом идет - что в других странах монтивируют на освоение средств совсем другими средствами, а у нас только через УК.

если ОКИИ относится к значимым, то смотрите действующую редакцию 239 приказа. "Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.
"

Спасибо за ответ.
Относится. 239 будет достаточно или в процессе могут всплыть ещё какие-либо приказы, акты?

Могут предъявить требовнаия по 235 приказу, если разрабатываемое ПО соответствует " К программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры, относятся средства защиты информации, в том числе средства защиты информации от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений (компьютерных атак), средства антивирусной защиты, средства (системы) контроля (анализа) защищенности, средства управления событиями безопасности, средства защиты каналов передачи данных.". Заказчик может выставить свои требования. Могут изменить в ближайшее время 239 приказ.

Спасибо за информацию

Добрый вечер!
Знающие люди, подскажите пожалуйста: если на зокии - 1 категории внедряется микропроцессорное управление без какого-либо согласования с ИБ ( просто игнор), то в случае наступления возможных последствий несет ли ответственность рук. ИБ, если да, то какую? Спасибо!

вы не смогли найти перевод? тоже интересует

Если он при этом сидит на попе ровно - то да, вплоть до уголовной в случае инцидента.

Есть функции главИБшника, установленные в п. 10 приказа 235. То, что вы описали - конфликт между подразделениями ИБ и ИТ, который может быть разрушен только руководителем организации. Если ИБшник выполняет перечисленные в п. 10 функции (пишет предложения, проводит анализ угроз и т.п.), но руководитель его работу игнорирует - это ответственность руководителя. В аналогичной ситуации в пожарной безопасности были примеры, когда руководителя сажали за то, он не обеспечил ответственному за пожарную безопасность возможность исполнять свои функции.

Если же ИБшник занимает позицию "все равно ничего изменить не могу" - то за последствия отвечает уже он сам.

Там важно наличие подписи безопасника при комиссионном подтверждение соответствия сб зокии требованиям приказам. Вообще, слишком много нюансов, что бы прогнозы давать при таких исходных данных

Спасибо!

Возможно ли в одну модель угроз запихнуть и ГИС и ЗОКИИ?