мое мнение такое. предоставление ЭП для взаимодействия это не совсем обеспечение взаимодействия. соответственно субъектом кии УЦ не считаем

Т.е. на этапе ТЗ не нужно отправлять 236 форму? Просто в процессе модернизации учесть систему защиты, а после ввода в эксплуатацию подать полную форму 236?

Ой, ответ - то не мне, кажется))

У вас сначала акт категорирования должен быть. На заседании комиссии рассматриваете проект модернизации и оформляете решение о присвоении категории значимости модернизированного окии.

Спасибо!

Коллеги!
Как выглядит (балда) Акта оценки потенциального вреда субъектам персональных данных?
И вообще: нужно ли этот акт иметь?

это тема 152-ФЗ, а не 187-ФЗ.
Оценку сделать нужно, да. В форме именно акта не обязательно

Свежий "Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79" не содержит ни одного документа по КИИ. У кого какие мысли есть по причинам произошедшего? https://fstec.ru/normotvorcheskaya/litsenzirovanie/76-inye/2101-perechen-utverzhden-direktorom-fstek-rossii-12-avgusta-2020-g

Подозреваю, что просто актуализировали старый.

В этом сомнений нет. Именно актуализация старого и должна быть. Почему актуализация выборочная?

Я имею ввиду, что актуализировали имеющиеся в перечне документы, новые не стали добавлять. Хотя... добавили же пунктом 12 приказ ФСТЭК № 131

Актуализация странная. Новая Методика угроз на выходе, а в перечне старая. Срок закупки тоже не блещет продуманностью. ГНИПТЗИ упадёт под нагрузкой, если все сейчас кинутся покупать документы.

Скорее, непонятно, зачем туда внесли пять общедоступных нормативных документов. Они не могут "не имеется" у организации, так как относятся к "подлежащим обязательному опубликовано".

А все остальное - или ДСП, которые нужно запрашивать, или ГОСТы, которые приходится закупать. Перечень и нужен для того, чтобы со искатель знал, что именно запрашивать/покупать. Среди этой проприетарщины про КИИ ничего нет.

С ГОСТами тоже непонятка: удалили часть ГОСТ 2 серии из прошлого перечня, заменив ГОСТ 19 серии, но пропустили ГОСТ 2.114-2016 Технические условия (в старом перечне был ГОСТ 2.114-95). А по 55 приказу ФСТЭК по сертификации нужно подавать именно Технические условия. В общем, вопросов больше, чем ответов.

Добрый день если нет ЗОКИИ должны ли мы взаимодействовать с ГОСОПКА

Если есть ОКИИ, то должны с НКЦКИ взаимодействовать в части отправки информации об инцидентах

Спс

нам на учебе ещё дополнительно проговаривали, что необходимо разработать отдельный (или дополнить уже существующий) пакет ОРД, в части назначения ответственного за взаимодействие с НКЦКИ, журнал регистрации КИ, инструкция реагирования на КИ

Да. Это поможет при ответе на запросы, например, прокуратуры. Они периодически спрашивают о взаимодействии.

Не то, чтобы необходимо - скорее, это будет полезно.

Например, в журнале регистрации инцидентов никакого смысла нет. Есть смысл хранить протоколы разбора инцидентов (что случилось, хронология событий, почему инцидент стал возможен, какие меры приняли, почему эти меры не помогли, какие выводы сделали на будущее) .

Но для этого должна быть процедура разбора инцидентов и волевое решением руководства учиться на ошибках.

А бумага ради бумаги не нужна никому.