Центры пока в серой зоне законодательства. Их лучше в пример не приводить.

Почему в серой? Имеют лицензии ФСТЭК на защиту конфиденциальной информации, работают в правовом поле, платят налоги. Некоторые помимо ГосСОПКА состоят в FIRST или ENISA.

ФСТЭК имеет оччень ограниченное отношение к ГосСОПКА вообще. к сожалению, лицензии ТЗКИ не достаточно для деятельности центров. Но достатчоно для выполнения 239 приказа, в части передаи некоторых функций СБ ЗОКИИ в внешний SOC.

Странно🤔 А что ограничивает центр осуществлять свою деятельность? Какие требования и запреты я пропустил?

Отсутствие такой сущности в законодательстве. Все полномочия НКЦКИ прописаны в приказе ФСБ 366, там все грустно в части центров. И соглашение с НКЦКИ можт быть только "о сотрудничестве в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты".

Да ладно. Какому-нибудь центру защиту от киберугроз (с лицензией ФСТЭК) ничего не мешает осуществлять деятельность по мониторингу ИБ, реагированию на компьютерные инциденты и т.п., несмотря на то что "центра защиты от киберугроз" в нормативке не. Работает как юридические лицо в рамках заключенных договоров и всё.

В стране множество организаций и подразделений юридических лиц успешно работающих в области ИБ без статуса центра ГосСОПКА. Большинство из них осуществляют свою деятельность еще до появления ГосСОПКА.

Другое дело что быть членом ГосСОПКА престижно и полезно

осталось понять причем здесь статус центра и соглашение с НКЦКИ

Хочешь быть центром - заключи договор с НКЦКИ и будь им )

А вот такой еще момент на перспективу - можно ли будет не ставить системы обнаружения атак? У меня большинство ЗОКИИ - изолированные, для них даже модели внешних угроз и нарушителей упрощенные по сути будут, тк есть только технологическая сеть в КЗ. А ставя систему обнаружения, мы делаем потенциальную дырку для атак из мира... По сути, нет системы - нет атак, есть система - есть атаки :))

Все индивидуально. Осуществлять мониторинг событий ИБ возможно и без SIEM. И "дырку" во внешний мир изолированной системы делать необязательно.

Так оно понятно, что можно в ручном режиме мониторить и тд, но складывается впечатление, что это все будет в обязательном порядке...

А это зависит у кого вы консультируетесь ))
Продавцы страха они такие )

239 приказ не требует таких систем для 3 категории. оОстально ебудет решаться стандартно, на уровне МУиН и проекта подсистемы безопасности

А мы особо не консультируемся - контора имеет прямое отношение к монополисту, у которого в лого синяя зажигалка. Оглядываемся только на старшего брата. В остальном приходится крутиться самим. ЗЫ один объект 2 категории. Ну хорошо, хоть для третей не обязательно, а то я этот момент упустил

Слушайте, а есть тематический форум по 187-фз? А то канал в телеге - это хорошо, но некоторые моменты искать в истории дюже не удобно :)

Вот именно поэтому ФСТЭК выкидывает в помойку старые методики по моделированию угроз.

Нет, нельзя будет. По новой методике анализа угроз, когда она будет принята, вы должны будете рассмотреть все возможные пути обхода изоляции, от "пользователь воткнул подаренную флешку" до "лентяи-адмтны хотят админить удаленно и соединили сети". И если базовый набор мер защиты от такого не защищает, придется добавлять меры защиты, которых в нем нет.

Не факт, что для этого понадобится именно СОВ, но отмазка "а у нас сети изолированные" больше не канает.

В 239 прописаны какие меры должны быть. В зависимости от вашей системы приспособить обнаружению атак можно и штатные системы и алерты выводить диспетчеру в этом же контуре.