ЕО
Да, спасибо, уже ознакомились.
Size: a a a
2020 August 19
N
Методичка норм, кстати, в некоторых моментах приличнее вариантов для других отраслей, но есть косяки, касающиеся конкретики, надеюсь перечитают к утверждению и поправят.
Думаю, что на местах будут больше всего смотреть как раз на конкретные примеры и нужно очень внимательно пересмотреть Приложения 4, 7, 8, 13, 17. Там есть ошибки и неточности:
В Приложении 7 больше всего напортачили:
Нарушение оказания медицинской помощи у них не может привести к причинению ущерба жизни и здоровья, но зато нарушение мониторинга уровня защищенности каким-то образом влечет ущерб жизни и здоровья.
В формулировках именно нарушение бизнес-процессов может приводить к реализации компьютерных атак, хотя должно быть наоборот. По этому Приложению на мой взгляд больше всего неточностей как раз.
Также Приложение 7 не всегда бьется с Приложением 13 (по 7, например, получается, что НСД может все-таки привести к ущербу здоровью и т.д.)
Мешанина в 15 Приложении - если для какого-то критерия расчет не производится, то зачем для избранных инцидентов вводить обоснования, что не входит в сценарий - не производится и все.
Приложение 17, раздел V - стоит скорректировать неточности, например: почему вирусная атака или проникновение в операционную среду не может вызвать отказ в обслуживании или незаконное использование вычислительных ресурсов?
Раздел VI - Угрозы доступа в операционную среду включают в себя внедрение вредоносных программ - зачем тогда их выделять в отдельный тип угроз? Путаница возникает. И если угрозы доступа в операционную среду воздействуют (по таблице) на оборудование, то почему инциденты нарушения работы тех средств или отказ в обслуживании неактуальны для них в таблице выше?
Насколько понимаю, разрабатывал интегратор один, наверняка в чате есть представители, надеюсь увидят и поправят
Думаю, что на местах будут больше всего смотреть как раз на конкретные примеры и нужно очень внимательно пересмотреть Приложения 4, 7, 8, 13, 17. Там есть ошибки и неточности:
В Приложении 7 больше всего напортачили:
Нарушение оказания медицинской помощи у них не может привести к причинению ущерба жизни и здоровья, но зато нарушение мониторинга уровня защищенности каким-то образом влечет ущерб жизни и здоровья.
В формулировках именно нарушение бизнес-процессов может приводить к реализации компьютерных атак, хотя должно быть наоборот. По этому Приложению на мой взгляд больше всего неточностей как раз.
Также Приложение 7 не всегда бьется с Приложением 13 (по 7, например, получается, что НСД может все-таки привести к ущербу здоровью и т.д.)
Мешанина в 15 Приложении - если для какого-то критерия расчет не производится, то зачем для избранных инцидентов вводить обоснования, что не входит в сценарий - не производится и все.
Приложение 17, раздел V - стоит скорректировать неточности, например: почему вирусная атака или проникновение в операционную среду не может вызвать отказ в обслуживании или незаконное использование вычислительных ресурсов?
Раздел VI - Угрозы доступа в операционную среду включают в себя внедрение вредоносных программ - зачем тогда их выделять в отдельный тип угроз? Путаница возникает. И если угрозы доступа в операционную среду воздействуют (по таблице) на оборудование, то почему инциденты нарушения работы тех средств или отказ в обслуживании неактуальны для них в таблице выше?
Насколько понимаю, разрабатывал интегратор один, наверняка в чате есть представители, надеюсь увидят и поправят
u
Добрый день, коллеги!
Если кто сталкивался с подобной ситуацией, подскажите как правильно выйти из неё.
Учебное учреждение, подали сведения во ФСТЭК о результатах категорирования ОКИИ. В ответ получили замечание, что категорирование проведено неверно, необходимо пересмотреть показатель 9 "возникновение ущерба бюджетам РФ" и предоставить расчеты данного показателя.
В акте категорирования мы этот показатель указали "0", исходя из того, что выявленные угрозы не могут привести к выводу оборудования из строя. Информация, обрабатываемая ОКИИ не конфиденциальна. Каким образом можно показать расчет в таком случае и есть вообще примеры подобных расчетов?
Если кто сталкивался с подобной ситуацией, подскажите как правильно выйти из неё.
Учебное учреждение, подали сведения во ФСТЭК о результатах категорирования ОКИИ. В ответ получили замечание, что категорирование проведено неверно, необходимо пересмотреть показатель 9 "возникновение ущерба бюджетам РФ" и предоставить расчеты данного показателя.
В акте категорирования мы этот показатель указали "0", исходя из того, что выявленные угрозы не могут привести к выводу оборудования из строя. Информация, обрабатываемая ОКИИ не конфиденциальна. Каким образом можно показать расчет в таком случае и есть вообще примеры подобных расчетов?
V
Неправильное обоснование. Оборудование может быть выведено, но его вывод не приведёт к изменению выплат субъекта кии в бюджеты. Показатель не применим, а не равен нулю. А расчёт простой, идёте к своему главбух и говорите-- как изменятся выплаты в бюджеты, если вот эта ИС выйдет из строя.
С
user
Добрый день, коллеги!
Если кто сталкивался с подобной ситуацией, подскажите как правильно выйти из неё.
Учебное учреждение, подали сведения во ФСТЭК о результатах категорирования ОКИИ. В ответ получили замечание, что категорирование проведено неверно, необходимо пересмотреть показатель 9 "возникновение ущерба бюджетам РФ" и предоставить расчеты данного показателя.
В акте категорирования мы этот показатель указали "0", исходя из того, что выявленные угрозы не могут привести к выводу оборудования из строя. Информация, обрабатываемая ОКИИ не конфиденциальна. Каким образом можно показать расчет в таком случае и есть вообще примеры подобных расчетов?
Если кто сталкивался с подобной ситуацией, подскажите как правильно выйти из неё.
Учебное учреждение, подали сведения во ФСТЭК о результатах категорирования ОКИИ. В ответ получили замечание, что категорирование проведено неверно, необходимо пересмотреть показатель 9 "возникновение ущерба бюджетам РФ" и предоставить расчеты данного показателя.
В акте категорирования мы этот показатель указали "0", исходя из того, что выявленные угрозы не могут привести к выводу оборудования из строя. Информация, обрабатываемая ОКИИ не конфиденциальна. Каким образом можно показать расчет в таком случае и есть вообще примеры подобных расчетов?
Образец расчета экономического ущерба при максимальной длительности разового нарушения работоспособности:
V
Это точно про выплаты в бюджеты?
С
Цифры подставьте свои
u
Неправильное обоснование. Оборудование может быть выведено, но его вывод не приведёт к изменению выплат субъекта кии в бюджеты. Показатель не применим, а не равен нулю. А расчёт простой, идёте к своему главбух и говорите-- как изменятся выплаты в бюджеты, если вот эта ИС выйдет из строя.
Формулировка ФСТЭК в письме такова -
В результате осуществления комп.атаки у субъекта КИИ возникнут дополнительные расходы связанные с устранением последствий атаки.
Учреждению необходимо пересмотреть вывод о неприменимости показателя 9 "возникновение ущерба бюджетам РФ..." и представить расчеты указанного показателя.
То есть ФСТЭК нашу формулировку уже воспринял как неприменимость п.9, но не согласился.
Но всё-таки, если выявленные угрозы не могут привести к физическому выводу из строя оборудования и не несут за собой финансовые потери, то как можно это обосновать?
В результате осуществления комп.атаки у субъекта КИИ возникнут дополнительные расходы связанные с устранением последствий атаки.
Учреждению необходимо пересмотреть вывод о неприменимости показателя 9 "возникновение ущерба бюджетам РФ..." и представить расчеты указанного показателя.
То есть ФСТЭК нашу формулировку уже воспринял как неприменимость п.9, но не согласился.
Но всё-таки, если выявленные угрозы не могут привести к физическому выводу из строя оборудования и не несут за собой финансовые потери, то как можно это обосновать?
С
Это точно про выплаты в бюджеты?
Мне завернули по такой-же причине. Прислали эти образцы расчетов.
V
Это обоснование, что этот показатель вообще не применим к субъекту. Как его привязать к конкретному окии? Если цифра получится выше пороговой?
u
Мне завернули по такой-же причине. Прислали эти образцы расчетов.
У Вас ЗОКИИ?
Мы подали как не значимый.
Мы подали как не значимый.
u
в 9 пункте указано "Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период)" - я так понимаю идет речь о федеральном бюджете РФ, где взять цифры о прогнозируемом годовом доходе федерального бюджета
С
user
У Вас ЗОКИИ?
Мы подали как не значимый.
Мы подали как не значимый.
Мы тоже. ФСТЭК ответил, что т.к. расчеты не представлены, то нет оснований верить выводам комиссии. Мол , покажите в таблице рассчеты и их результаты, тогда примем.
V
Вы либо приводите конкретные цифры от бухгалтерии, либо обоснование не применимости показателя
С
user
в 9 пункте указано "Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период)" - я так понимаю идет речь о федеральном бюджете РФ, где взять цифры о прогнозируемом годовом доходе федерального бюджета
Это бухи или экономисты должны высчитывать. У нас - так.
С
Это точно про выплаты в бюджеты?
Это "1) Возникновению ущерба, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности"
DK
user
Формулировка ФСТЭК в письме такова -
В результате осуществления комп.атаки у субъекта КИИ возникнут дополнительные расходы связанные с устранением последствий атаки.
Учреждению необходимо пересмотреть вывод о неприменимости показателя 9 "возникновение ущерба бюджетам РФ..." и представить расчеты указанного показателя.
То есть ФСТЭК нашу формулировку уже воспринял как неприменимость п.9, но не согласился.
Но всё-таки, если выявленные угрозы не могут привести к физическому выводу из строя оборудования и не несут за собой финансовые потери, то как можно это обосновать?
В результате осуществления комп.атаки у субъекта КИИ возникнут дополнительные расходы связанные с устранением последствий атаки.
Учреждению необходимо пересмотреть вывод о неприменимости показателя 9 "возникновение ущерба бюджетам РФ..." и представить расчеты указанного показателя.
То есть ФСТЭК нашу формулировку уже воспринял как неприменимость п.9, но не согласился.
Но всё-таки, если выявленные угрозы не могут привести к физическому выводу из строя оборудования и не несут за собой финансовые потери, то как можно это обосновать?
Смотрите. Вот ваш учебный класс зашифровало малварью. Так оставите или что-то делать будете?
Если будете что-то делать, то это дополнительные трудозатраты (в дополнение к своим повседневных обязанностям ваш персонал перезаливает компы учебных классов). Дополнительные трудозатраты увеличивают себестоимость ваших услуг и снижают налогообоагаемую прибыль. Снижение налогов - это ущерб бюджету. У вас этот налог ущерб копеечным, поэтому вы не попадете в значимые объекты, но он будет - и его нужно показать.
Вы же написали, что никакая неработоспособность не причиняет ущерба. Это очевидно не так, поэтому вам результаты категорирования завернули
Если будете что-то делать, то это дополнительные трудозатраты (в дополнение к своим повседневных обязанностям ваш персонал перезаливает компы учебных классов). Дополнительные трудозатраты увеличивают себестоимость ваших услуг и снижают налогообоагаемую прибыль. Снижение налогов - это ущерб бюджету. У вас этот налог ущерб копеечным, поэтому вы не попадете в значимые объекты, но он будет - и его нужно показать.
Вы же написали, что никакая неработоспособность не причиняет ущерба. Это очевидно не так, поэтому вам результаты категорирования завернули
DK
Правда, не совсем понятно, зачем вы вообще назывались субъектом КИИ, если речь только об образовательной деятельности. Но в научной логика такая же
u
Правда, не совсем понятно, зачем вы вообще назывались субъектом КИИ, если речь только об образовательной деятельности. Но в научной логика такая же
У нас объектом заявлена АСУ ТП телеметрии. Помимо образовательной деятельности , есть научная, энергетическая и т.д.
DK
user
У нас объектом заявлена АСУ ТП телеметрии. Помимо образовательной деятельности , есть научная, энергетическая и т.д.
Принцип тот же. "Опять эти нелепые телодвижения" по восстановлению работоспособности. Любые телодвижения, любые затраты времени персонала стоят денег. В обычной ситуации они приводят к получению выручки, но именно восстановление работоспособности - это чисто безвозвратные затраты.