АБ
Можно писать положение, регламент, инструкцию, методику на каждый пункт. А можно и в один приказ все упаковать. У кого сколько средств и сил есть.
Size: a a a
2020 May 12
ИВ
Андрей Боровский
А где аргументация необходимости на каждый чих иметь отдельную инструкцию? А не один кирпич на все чихи?
А чего тут аргументировать. ФСТЭК люди прямолинейные берём приложение и в нем на каждую меру - регламентация
V
Для примера. Мера УКФ.0. Было - "Разработка политики управления конфигурацией информационной (автоматизированной) системы, стало - "Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы". Специально правки внесли. Хотите в один документ, хотите разными
АБ
Игорь ВИ
А чего тут аргументировать. ФСТЭК люди прямолинейные берём приложение и в нем на каждую меру - регламентация
А что мешает в области действия одного документа написать 15 задач и кратко или полно их раскрыть? Макулатура вещь великая, но это же исполнять все нужно.
АБ
Для примера. Мера УКФ.0. Было - "Разработка политики управления конфигурацией информационной (автоматизированной) системы, стало - "Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы". Специально правки внесли. Хотите в один документ, хотите разными
Отличный пример. В крупной организации может быть несколько регламентов по управлению конфигурацией. Для серверов, для арм, для средств защиты, для сетевого оборудования. И у всех свои исполнители. А в случае, когда у вас одно подразделение отвечает за все, плодить десяток однотипных документов - это пустая трата ресурсов.
RN
Андрей Боровский
Отличный пример. В крупной организации может быть несколько регламентов по управлению конфигурацией. Для серверов, для арм, для средств защиты, для сетевого оборудования. И у всех свои исполнители. А в случае, когда у вас одно подразделение отвечает за все, плодить десяток однотипных документов - это пустая трата ресурсов.
Даже если документ однотипный, имеет смысл указывать для кого он предназначается как для конечных пользователей, так и классифицировать по другим критериям.
ИВ
Ну в общем называю регламент мер....... ЗОКИИ и все до кучи, детализация для пользователя, админа в инструкциях.
АБ
Игорь ВИ
Ну в общем называю регламент мер....... ЗОКИИ и все до кучи, детализация для пользователя, админа в инструкциях.
А для не ЗОКИИ у вас есть регламенты по реализации таких мер? Может уже достаточно существующих общих документов? :)
V
Все на усмотрение субъекта КИИ -"12.2. Разрабатываемые организационно-распорядительные документы по безопасности значимого объекта должны определять правила и процедуры реализации отдельных организационных и (или) технических мер (политик безопасности), разработанных и внедренных в рамках подсистемы безопасности значимого объекта в соответствии с главой III настоящих Требований.
Организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами.
Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности."
Организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами.
Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности."
RN
Все на усмотрение субъекта КИИ -"12.2. Разрабатываемые организационно-распорядительные документы по безопасности значимого объекта должны определять правила и процедуры реализации отдельных организационных и (или) технических мер (политик безопасности), разработанных и внедренных в рамках подсистемы безопасности значимого объекта в соответствии с главой III настоящих Требований.
Организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами.
Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности."
Организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами.
Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности."
Иногда эти границы мне кажется размыты, когда есть пользователь, администратор и регулятор, как Вы думаете кто должен отвечать за бизнес-процесс, если участники:
УЗ - учреждение здравоохранения, кто вносит и актуализирует данные
МИАЦ - кто администрирует и следит за соблюдением регламентов и требования
МЗ - министерство здравоохранения, те, кто является регулятором выполнения требований
проверяющих не упоминаю ...
УЗ - учреждение здравоохранения, кто вносит и актуализирует данные
МИАЦ - кто администрирует и следит за соблюдением регламентов и требования
МЗ - министерство здравоохранения, те, кто является регулятором выполнения требований
проверяющих не упоминаю ...
V
отвечает за все субъект КИИ. Кто то ведь оформил статус значимого ОКИИ. Вот теперь и нести ему тяжкую ношу
RN
отвечает за все субъект КИИ. Кто то ведь оформил статус значимого ОКИИ. Вот теперь и нести ему тяжкую ношу
Я вот не всегда понимаю это, вот рассмотрим банальную ситуацию администрирует систему допустим МИАЦ, ответственный допустим МИАЦ, но взаимоотношений между учреждением здравоохранения и МИАЦ нет, там косвенно МинЗдрав, а то и МинЦифра*(МинГос) с кем как правило ни одного соглашения и бумажки нет. У нас давно много проблем с этим в Московской области формально на их серверах и они администрируют, но ответственность даже за любые инциденты лежит именно на пользователях ...
V
Ответственность за выполнение 235/239 приказов несет субъект ЗОКИИ. Ответственность по 274.1 УК РФ несут все, причастные к использованию этого ЗОКИИ. Субъект ЗОКИИ вправе установить правила безопасного использования ЗОКИИ для всех пользователей и админов, вне зависимости от и трудовой принадлежности. Но перед регуляторами отвечать будет субъект ЗОКИИ
АБ
Ответственность за выполнение 235/239 приказов несет субъект ЗОКИИ. Ответственность по 274.1 УК РФ несут все, причастные к использованию этого ЗОКИИ. Субъект ЗОКИИ вправе установить правила безопасного использования ЗОКИИ для всех пользователей и админов, вне зависимости от и трудовой принадлежности. Но перед регуляторами отвечать будет субъект ЗОКИИ
Правила для неработников субъекта нужно устанавливать через договорные отношения (соглашения, лицензионные соглашения).
АБ
Я вот не всегда понимаю это, вот рассмотрим банальную ситуацию администрирует систему допустим МИАЦ, ответственный допустим МИАЦ, но взаимоотношений между учреждением здравоохранения и МИАЦ нет, там косвенно МинЗдрав, а то и МинЦифра*(МинГос) с кем как правило ни одного соглашения и бумажки нет. У нас давно много проблем с этим в Московской области формально на их серверах и они администрируют, но ответственность даже за любые инциденты лежит именно на пользователях ...
Восстановление цепочки кто кому и в рамках какого документа должен решается в рамках категорирования. Если, например, вы или государство платит за sla восстановления месяц, а по факту это зокии. То что то тут не так с документами и категориями.
RN
Андрей Боровский
Восстановление цепочки кто кому и в рамках какого документа должен решается в рамках категорирования. Если, например, вы или государство платит за sla восстановления месяц, а по факту это зокии. То что то тут не так с документами и категориями.
Самый простой вариант после консультаций с юристами создать прецедент и указать на нарушение в части определения ответственности, хотя занимательно посмотреть на другие субъекты РФ в этой части.
АБ
Каждый субъект сам кузнец своего счастья :)
2020 May 13
😎
Коллеги , pls help. Получили от ФСТЭК письмо по результатам категорирования объектов КИИ. Пишут, что не приведены обоснования неприменимости показателя 9 - ущерб бюджетам РФ 🤦.
Есть ли у кого-нибудь информация (материал) как правильно рассчитать и оформить данный показатель ?
П.с мы финансовая организация - Банк 🏦
Есть ли у кого-нибудь информация (материал) как правильно рассчитать и оформить данный показатель ?
П.с мы финансовая организация - Банк 🏦
V
методика для операторов связи и методика ДИТ Москвы содержит разделы с примерами расчетов этих показателей
ST
😎
Коллеги , pls help. Получили от ФСТЭК письмо по результатам категорирования объектов КИИ. Пишут, что не приведены обоснования неприменимости показателя 9 - ущерб бюджетам РФ 🤦.
Есть ли у кого-нибудь информация (материал) как правильно рассчитать и оформить данный показатель ?
П.с мы финансовая организация - Банк 🏦
Есть ли у кого-нибудь информация (материал) как правильно рассчитать и оформить данный показатель ?
П.с мы финансовая организация - Банк 🏦
Мы брали усреднённый ща трехлетний период прогнозируемый годовой доход федерального бюджета и сравнивали с нашими отчислениями в бюджетную систему за предыдущий год.