Ты частную ИС с государственной не путай :)

Есть угрозы, которых опасается сама организация. Например, для многих наших заказчиков доступ к корпоративной переписке топ-менеджеров - угроза очень высокого уровня опасности.

Есть угрозы, от которых защищаться требуется. Банку трижды наплевать на то, что с твоей карты уведут деньги - он не хочет от этого защищаться.

Поэтому для обоснования закупок нужны оба подхода. Для себя - вероятностный, пусть даже вероятности высосаны из пальца, а для выполнения  требований регуляторов - отталкиваясь только от последствий угроз.

Это не очень справедливо по отношению к добросовестным организациям, но их единицы на фоне пофигистов, которых приходится заставлять.

Соглашусь.

просьбу  помочь с обоснованием закупки СЗИ озвучил представитель бюджетной организации.

Во ФСТЭКовской методики для этого ввели понятие уровень опасности угрозы. Есть два способа реализации угрозы, один использует RCE-уязвимость, второй требует физического доступа к серверу. Оценивается опасность каждого из способов, сложность реализации - один из факторов (чем проще реализовать, тем опаснее угроза). Степень опасности используется для определения приоритетов реализации мер защиты

Экономистов не убедить словами "опасно". Им нужно "дорого" и "вполне вероятно".

Если бюджетная организация всерьез занимается безопасностью, она обычно тоже используют два подхода.

Элементарно убеждаются. "Мы можем  увести с ваших корсчетов один триллион рублей. Это делается вот так, если хотите -  продемонстрируем. Готовы подписать бумагу, что считаете эту угрозу неактуальной и не требующей защиты?"

На этом необходимость убеждать обычно заканчивается :)

Совершенно согласна. При этом столкнулась с мнением руководства о "неуловимости Джо" и этой "экспертную оценку" мне предлагают использовать в расчёте))

Доброго времени суток, подскажите, где то есть в законе указание для специалистов по безопасности кии, о том что они должны быть освобождены от другой работы и не имеют право совмещать с другими должностями??? Заранее спасибо!

Доброе утро. Посмотри 235 приказ ФСТЭК, там может что-то похожее найдёте.

Всем здравствуйте! Работаю в больнице. Не могу разобраться с вопросом взаимодействия с госсопкой. У нас есть значимый объект по результатам категорирования, значит обязательно нужно подключаться с помощью технических средств? Или все таки можно путём почты, факса и тд?
И ещё такой момент для меня не понятный, ЗОКИИ является региональная ис здравоохранения, а мы ее пользовательский сегмент. Как в этом случае нужно взаимодействовать с госсопкой, если денег в любом случае на тех средства не будет? И какая ответственность в случае чего будет?
Заранее спасибо)
Я только разбираюсь, проконсультироваться не с кем

Тех средства не обязательны. Главное выдержать норматив 3 часа.

12. Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:

наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;

наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);

прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".

13. Не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры или обеспечением информационной безопасности субъекта критической информационной инфраструктуры в целом.

Обязанности, возлагаемые на работников структурного подразделения по безопасности, специалистов по безопасности, должны быть определены в их должностных регламентах (инструкциях).

Больнице проще аутсорсинг купить.

Или не создавать подразделение, в возложить обязанности на одно человека с прохождением обучения по ИБ

В целом такого нет, но если у вас есть ЗОКИИ, то можно использовать выше приведённый приказ 235, где такие спецы могут заниматься только ИБ.

Коллеги, добрый день! является перечень ОКИИ конфиденциальной информацией? в каком НПА или ФЗ это утверждается?

это сам субъект КИИ решает. Даже в Информационном сообщении ФСТЭК России от 24 августа 2018 г. N 240/25/3752 не предусмотрена пометка о конфиденциальности на рекомендуемой форме Перечня.

Валерий Спасибо!

Подскажите, пожалуйста Диспетчерские службы  01, 02, 03, 04 и 112 считаются объектами КИИ,  если ДА, где можно об этом почитать