АЛ
Уточняю суть вопроса. Объекту присвоена категория значимости. Статус организации изменился. Необходимо в соответствии с новым статусом разработать документацию. Есть ли готовый поречень таких документов?
Size: a a a
2020 August 28
АЛ
Спасибо!
AK
Если вам кажется, что по теме безопасности КИИ и сказать-то уже нечего, то очередной Дайджест КИИ 187-ФЗ быстро убедит вас в обратном =) https://zlonov.ru/kii187fz-2020-35/
2020 August 29
ST
Подскажите, у кого нибудь региональный ФСТЭК запрашивал инфу? Нам тут запрос пришел, и про процесс категорировании все описать, какими документами все оформлено, и инфу о ОРД и системе безопасности дать, и !инциденты!, сведения проведенных сканированиях угроз раз в квартал им передавать по почте... Есть ли вообще основания у регионального фстэка такую инфу собирать? Особенно про инциденты интересно, как бы нкцки для этого
A
Подскажите, у кого нибудь региональный ФСТЭК запрашивал инфу? Нам тут запрос пришел, и про процесс категорировании все описать, какими документами все оформлено, и инфу о ОРД и системе безопасности дать, и !инциденты!, сведения проведенных сканированиях угроз раз в квартал им передавать по почте... Есть ли вообще основания у регионального фстэка такую инфу собирать? Особенно про инциденты интересно, как бы нкцки для этого
Был опыт, что категорированием интересовались, но вот так глубоко - нет.
2020 August 30
Ю
Подскажите, у кого нибудь региональный ФСТЭК запрашивал инфу? Нам тут запрос пришел, и про процесс категорировании все описать, какими документами все оформлено, и инфу о ОРД и системе безопасности дать, и !инциденты!, сведения проведенных сканированиях угроз раз в квартал им передавать по почте... Есть ли вообще основания у регионального фстэка такую инфу собирать? Особенно про инциденты интересно, как бы нкцки для этого
Положение
о Федеральной службе по техническому и экспортному контролю
(утв. Указом Президента РФ от 16 августа 2004 г. N 1085)
9. ФСТЭК России в целях реализации своих полномочий имеет право:
8) запрашивать и получать от федеральных органов исполнительной власти, иных государственных органов, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, а также от организаций и должностных лиц необходимые для осуществления деятельности ФСТЭК России информацию, документы и материалы, в том числе добытые по специальным каналам;
о Федеральной службе по техническому и экспортному контролю
(утв. Указом Президента РФ от 16 августа 2004 г. N 1085)
9. ФСТЭК России в целях реализации своих полномочий имеет право:
8) запрашивать и получать от федеральных органов исполнительной власти, иных государственных органов, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, а также от организаций и должностных лиц необходимые для осуществления деятельности ФСТЭК России информацию, документы и материалы, в том числе добытые по специальным каналам;
Ю
Подскажите, у кого нибудь региональный ФСТЭК запрашивал инфу? Нам тут запрос пришел, и про процесс категорировании все описать, какими документами все оформлено, и инфу о ОРД и системе безопасности дать, и !инциденты!, сведения проведенных сканированиях угроз раз в квартал им передавать по почте... Есть ли вообще основания у регионального фстэка такую инфу собирать? Особенно про инциденты интересно, как бы нкцки для этого
Короче да, имеет право. Т. К. Если посмотреть пункт 1:
ФСТЭК России является фоивом осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по:
1) обеспечения безопасности критической информационной инфраструктуры Российской Федерации
ФСТЭК России является фоивом осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по:
1) обеспечения безопасности критической информационной инфраструктуры Российской Федерации
Ю
А теперь докажите что информация об инцидентах не входит в обозначенные рамки🤷♂️
В
Право имеет, но ссылка на другой документ нужна, вы привели ссылку на положение о ФСТЭК России - это в основном ЦА, а надо на положение о управлении ФСТЭК по округу, но там практически все дублируется,
Ю
Его просто сложнее искать, но суть одна и в указе изложены полномочия федерального органа исполнительной власти-это весь ФСТЭК со всеми филиалами
DK
Юрий
Его просто сложнее искать, но суть одна и в указе изложены полномочия федерального органа исполнительной власти-это весь ФСТЭК со всеми филиалами
"Запросить" не означает "получить".
"5. Случаи и условия обязательного распространения информации или предоставления информации, в том числе предоставление обязательных экземпляров документов, устанавливаются федеральными законами." - ФЗ-149, статья 10
ФСТЭК имеет право запросить любую информацию. Но запрашиваемый обязан предоставлять только ту информацию, которую его обязывает предоставлять федеральный закон. Любую другую информацию он может предоставить в качестве любезности или отказаться ее предоставить.
"5. Случаи и условия обязательного распространения информации или предоставления информации, в том числе предоставление обязательных экземпляров документов, устанавливаются федеральными законами." - ФЗ-149, статья 10
ФСТЭК имеет право запросить любую информацию. Но запрашиваемый обязан предоставлять только ту информацию, которую его обязывает предоставлять федеральный закон. Любую другую информацию он может предоставить в качестве любезности или отказаться ее предоставить.
Ю
КОАП статья 19.7
Ю
Если есть острое желание побороться с ветряными мельницами считаю, что непременно надо написать им о том, что они не имеют права, а ещё лучше пожаловаться в прокуратуру, но только потом обязательно напишите чем все кончилось)
DK
Юрий
КОАП статья 19.7
КОАП 19.1
Продолжим перекидыватья номерами статей КОАП? Их там много :)
Наказать можно только за невыполнение обязанности. В данном случае обязанности, установленной федеральным законом. А она законом не установлена.
Продолжим перекидыватья номерами статей КОАП? Их там много :)
Наказать можно только за невыполнение обязанности. В данном случае обязанности, установленной федеральным законом. А она законом не установлена.
DK
Юрий
Если есть острое желание побороться с ветряными мельницами считаю, что непременно надо написать им о том, что они не имеют права, а ещё лучше пожаловаться в прокуратуру, но только потом обязательно напишите чем все кончилось)
А что тут острого, первый раз, что ли? ФСТЭК часто запрашивает информацию, которую мы не обязаны предоставлять. Иногда предоставляем, иногда честно отвечаем, что подробности раскрыть не можем. Нормальное общение двух уважающий друг друга организаций :)
Ю
Тут все зависит от того интересы какой организации вы представляете. Если вы огромный фоив типа мвд, то возможно вы можете писать во фстэк что угодно и особых последствий у вас за это не предвидится, а если вы ип Иванов который со скрипом проходит лицензирование, то наверное со фстэк лучше не ссориться. Но это конечно моё мнение. Потому как такой конкретики по предоставлению инфы в законах я на вскидку не нашёл
DK
Юрий
Тут все зависит от того интересы какой организации вы представляете. Если вы огромный фоив типа мвд, то возможно вы можете писать во фстэк что угодно и особых последствий у вас за это не предвидится, а если вы ип Иванов который со скрипом проходит лицензирование, то наверное со фстэк лучше не ссориться. Но это конечно моё мнение. Потому как такой конкретики по предоставлению инфы в законах я на вскидку не нашёл
Мы - небольшая коммерческая компания, поднадзорная ФСТЭК и как лицензиат, и как заявитель системы сертификации. А какая разница?
По поводу "огромных ФОИВов" - это вы просто никогда не участвовали в совещаниях по итогам проверки такого ФОИВа :)
По поводу "огромных ФОИВов" - это вы просто никогда не участвовали в совещаниях по итогам проверки такого ФОИВа :)
Ю
Вам-то конечно виднее в чем я участвовал.
Кроме громких слов на этих совещаниях, последствия для конкретных исполнителей и должностных лиц в итоге примерно равны 0.
Написали план устранения
Доложили об устранении
Я к тому, что если вы маленькая организация которой и писать-то толком нечего, то несомненно проще написать номера приказов и проставить нули в таблице чем развязывать перепалку
Кроме громких слов на этих совещаниях, последствия для конкретных исполнителей и должностных лиц в итоге примерно равны 0.
Написали план устранения
Доложили об устранении
Я к тому, что если вы маленькая организация которой и писать-то толком нечего, то несомненно проще написать номера приказов и проставить нули в таблице чем развязывать перепалку
Ю
Даже больше скажу, в некоторых ситуациях, чем сильнее ФСТЭК нахлабучит, тем проще искать деньги на ИБ🤷♂️
DK
Юрий
Вам-то конечно виднее в чем я участвовал.
Кроме громких слов на этих совещаниях, последствия для конкретных исполнителей и должностных лиц в итоге примерно равны 0.
Написали план устранения
Доложили об устранении
Я к тому, что если вы маленькая организация которой и писать-то толком нечего, то несомненно проще написать номера приказов и проставить нули в таблице чем развязывать перепалку
Кроме громких слов на этих совещаниях, последствия для конкретных исполнителей и должностных лиц в итоге примерно равны 0.
Написали план устранения
Доложили об устранении
Я к тому, что если вы маленькая организация которой и писать-то толком нечего, то несомненно проще написать номера приказов и проставить нули в таблице чем развязывать перепалку
Ну хватит уже фантазировать. У нас запрашивают, например, непубличные подробности о найденных зеродеях в промышленном оборудовании тех же субъектов КИИ. Предоставить эти подробности мы не можем - они закрыты NDA. Запросить эти подробности ФСТЭК может - под указ это подпадает. Требовать их предоставления - не может, закон это не позволяет.
В таком случае мы предоставляем только уже опубликованную информацию и иногда - некоторую дополнительную, которая, по нашему мнению, ФСТЭК действительно нужна (дополнительные рекомендации по устранению, на что обращать внимание при проверках и т. п.).
Иногда честно отвечаем, что информация закрытая и предоставить ее не можем. Естественно, никаких санкций за непредоставление необязательно информации не бывает и быть не может.
В сухом остатке:
1. В том объеме, в каком написано в исходном сообщении (оргмеры, инциденты и т. п.) субъект предоставлять информацию не обязан.
2. Некоторые безопасники панически боятся, что ФСТЭК их оштрафуют (несмотря на отсутствие оснований для штрафа), поэтому рекомендуют предоставлять любую забрашиваемую информацию.
3. Баланс между 1 и 2 каждый находит для себя самостоятельно
В таком случае мы предоставляем только уже опубликованную информацию и иногда - некоторую дополнительную, которая, по нашему мнению, ФСТЭК действительно нужна (дополнительные рекомендации по устранению, на что обращать внимание при проверках и т. п.).
Иногда честно отвечаем, что информация закрытая и предоставить ее не можем. Естественно, никаких санкций за непредоставление необязательно информации не бывает и быть не может.
В сухом остатке:
1. В том объеме, в каком написано в исходном сообщении (оргмеры, инциденты и т. п.) субъект предоставлять информацию не обязан.
2. Некоторые безопасники панически боятся, что ФСТЭК их оштрафуют (несмотря на отсутствие оснований для штрафа), поэтому рекомендуют предоставлять любую забрашиваемую информацию.
3. Баланс между 1 и 2 каждый находит для себя самостоятельно