DK
Size: a a a
2020 April 09
N
Хм, в данном проекте обратно нет ясности по вопросу который поднимался по теме выше - является ли моделирование угроз лицензионным видом деятельности ибо в последнем абзаце п.2.8 звучит цитата "К моделированию угроз безопасности информации могут привлекаться организации, имеющие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации...."
ИВ
Могут это не значит лицензионный вид деятельности.
Если объект простой, но вы сами не готовы провести моделирование угроз, то привлекайте.
Если объект подпадает под обязательную аттестацию, то модель у вас уже есть или на нее сослались при аттестации.
Если объект простой, но вы сами не готовы провести моделирование угроз, то привлекайте.
Если объект подпадает под обязательную аттестацию, то модель у вас уже есть или на нее сослались при аттестации.
DK
N S M
Хм, в данном проекте обратно нет ясности по вопросу который поднимался по теме выше - является ли моделирование угроз лицензионным видом деятельности ибо в последнем абзаце п.2.8 звучит цитата "К моделированию угроз безопасности информации могут привлекаться организации, имеющие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации...."
С точки зрения ФСТЭК эта формулировка означает, что вы можете привлечь подрядчика, но такой подрядчик должен иметь лицензию.
На практике подрядчик разрабатывает только проект модели угроз, а утверждает его организация самостоятельно. С этого момента никому не интересно, кто разработал проект
На практике подрядчик разрабатывает только проект модели угроз, а утверждает его организация самостоятельно. С этого момента никому не интересно, кто разработал проект
N
С точки зрения ФСТЭК эта формулировка означает, что вы можете привлечь подрядчика, но такой подрядчик должен иметь лицензию.
На практике подрядчик разрабатывает только проект модели угроз, а утверждает его организация самостоятельно. С этого момента никому не интересно, кто разработал проект
На практике подрядчик разрабатывает только проект модели угроз, а утверждает его организация самостоятельно. С этого момента никому не интересно, кто разработал проект
Приблизительные сроки утверждения данного проекта известны?
A
С точки зрения ФСТЭК эта формулировка означает, что вы можете привлечь подрядчика, но такой подрядчик должен иметь лицензию.
На практике подрядчик разрабатывает только проект модели угроз, а утверждает его организация самостоятельно. С этого момента никому не интересно, кто разработал проект
На практике подрядчик разрабатывает только проект модели угроз, а утверждает его организация самостоятельно. С этого момента никому не интересно, кто разработал проект
Это же как с категориованием ОКИИ? Когда все работы может осуществлять подрядчик, далее проект представляется субъекту и утверждается им же.
DK
N S M
Приблизительные сроки утверждения данного проекта известны?
После общественного обсуждения. Каких-то серьезных препятствий для его принятия нет
O
Может кто поделиться шаблоном плана реагирования на компьютерные инциденты?
Д
Oleg
Может кто поделиться шаблоном плана реагирования на компьютерные инциденты?
Презентации сбера с SOC форума посмотрите
VP
С точки зрения ФСТЭК эта формулировка означает, что вы можете привлечь подрядчика, но такой подрядчик должен иметь лицензию.
На практике подрядчик разрабатывает только проект модели угроз, а утверждает его организация самостоятельно. С этого момента никому не интересно, кто разработал проект
На практике подрядчик разрабатывает только проект модели угроз, а утверждает его организация самостоятельно. С этого момента никому не интересно, кто разработал проект
По идее, должно быть интересно как минимум руководству предприятия, куда утекла модель угроз. А также степень полноты модели.
2020 April 10
ED
Андрей Боровский
Скорее вся система пожаротушения является АСУ ТП. Воздействовать можно не только через Эзернет и юсб порт. Через технологические порты тоже можно..
Мы отправили во Фстэк материалы по пожарной сигнализации и оповещения (в составе перечня и затем сведений о категорировании). Нам завернули во Фстэке это. Сейчас будем переделывать без них.
АБ
Мы отправили во Фстэк материалы по пожарной сигнализации и оповещения (в составе перечня и затем сведений о категорировании). Нам завернули во Фстэке это. Сейчас будем переделывать без них.
Так замечательно! У Вас есть бумажка с печатью ФСТЭК! Если что-то потом случится, можно будет ей прикрыться!
N
Учитывая коллапс с предоставлением перечня и категорированием, ФСТЭК вполне могли бы потратить немного бюджета на разработку сервиса по электронному предоставлению данных сведений в формализованном виде за ЭП руководителя предприятия и (или) аутентификацией через ЕСИА. Такое ощущение что ФСТЭК до сих пор работает на печатных машинках...
АБ
N S M
Учитывая коллапс с предоставлением перечня и категорированием, ФСТЭК вполне могли бы потратить немного бюджета на разработку сервиса по электронному предоставлению данных сведений в формализованном виде за ЭП руководителя предприятия и (или) аутентификацией через ЕСИА. Такое ощущение что ФСТЭК до сих пор работает на печатных машинках...
Совокупность сведений имеет гриф секретности, как вы себе представляете такой сервис? У многих формы сведений КТ или ДСП.
N
Андрей Боровский
Совокупность сведений имеет гриф секретности, как вы себе представляете такой сервис? У многих формы сведений КТ или ДСП.
Я бы не стал путать гриф секретно и конфиденциально! Если это ГТ, то порядок строг. Согласно 236 приказа ФСТЭК перечень уже формализован.
АБ
N S M
Я бы не стал путать гриф секретно и конфиденциально! Если это ГТ, то порядок строг. Согласно 236 приказа ФСТЭК перечень уже формализован.
Я про базу сведений в которую грузить.
N
Портал госуслуг, сведения ФНС, ПФР, Росреестра не конфиденциальны по Вашему?
АБ
N S M
Портал госуслуг, сведения ФНС, ПФР, Росреестра не конфиденциальны по Вашему?
Конфиденциально и ГТ имеют разные весовые категории
N
Сведения об опасных производственных объектах того же Ростехнадзора, и аттестации также имеют гриф, НО вполне себе работают автоматизированно.
ИВ
N S M
Учитывая коллапс с предоставлением перечня и категорированием, ФСТЭК вполне могли бы потратить немного бюджета на разработку сервиса по электронному предоставлению данных сведений в формализованном виде за ЭП руководителя предприятия и (или) аутентификацией через ЕСИА. Такое ощущение что ФСТЭК до сих пор работает на печатных машинках...
Если нет грифа то можете отправить во ФСТЭК и в электронном виде, заверенные ЭП.
Они уже давно работают с электронными документами подписанными ЭП.
Они уже давно работают с электронными документами подписанными ЭП.