PK
До начала следующего года получится организовывать взаимодействие с Госсопка по защищённой сети на базе континент? :)
Есть высокая вероятность
Size: a a a
2020 September 18
V
Сеть континент обещали ещё в 2018 году
АБ
Сеть континент обещали ещё в 2018 году
Как и других вендоров скзи.
PK
Сеть континент обещали ещё в 2018 году
Связано с тем, что решили строить подключение на новой версии, которая получила сертификаты в этом году
V
Коллеги, субъект кии размещает незначимые объекты с стороннем ЦОДе частном облаке. ЦОДу ведь не нужно проводить категорирование в этом случае?
PK
Valentin
Коллеги, субъект кии размещает незначимые объекты с стороннем ЦОДе частном облаке. ЦОДу ведь не нужно проводить категорирование в этом случае?
Оператор Цода становится субъектом кии и должен категорировать свои системы
V
Не становиться он субъектом КИИ. Нет оснований
A
КАКИЕ ВОПРОСЫ ЕСТЬ К РЕГУЛЯТОРАМ?
Хочу обратиться к вам за помощью 🙏 Мне надо составить обновленный список вопросов для Диалога с регулятором на наших региональных Кодах ИБ к ФСТЭК и ГОССОПКА.
Раньше списки вопросов выглядели так:
ФСТЭК:
1. Какие изменения в законодательстве произошли за последнее время? К чему готовиться субъектам КИИ?
2. Как нужно обосновывать выбранное значение показателей критериев значимости (применимо, не применимо) в актах категорирования?
3. Как проводить контроль выполнения и оценки эффективности выполнения норм защиты информации на объектах КИИ?
4. Как актуализировать Перечень объектов КИИ, подлежащих категорированию, если после его отправки произошли изменения?
5. Если организация отослала акты категорирования ОКИИ в ЦА ФСТЭК и Управление ФСТЭК по ПФО, и прошло больше 30 дней, то можно считать, что объекты уже в реестре ФСТЭК?
6. Нужно ли отправлять перечень объектов КИИ во ФСТЭК России, если он пустой?
7. Как правильно организовать категорирование в случае наличия филиалов — достаточно одной комиссии или же нужно создавать несколько?
8. Когда делать модель угроз безопасности ОКИИ: до или после категорирования?
9. В реестр ФСТЭК попадают только значимые ОКИИ, или незначимые тоже?
10. Какие требования нужно выполнять для незначимых объектов КИИ?
11. Сведения о защите ОКИИ являются гос. тайной?
ГОССОПКА:
1. Какие существуют варианты организации взаимодействия с НКЦКИ? Зависят ли они от размера субъекта КИИ или количества инцидентов?
2. Как получить методические документы ФСБ (помимо шести утвержденных приказов)?
3. Требования 196-го приказа распространяются на любой объект КИИ любого субъекта КИИ или только для центров ГосСОПКИ?
4. Требования 368-го приказа запрещают прямую передачу данных об инцидентах в иностранные организации. Что делать представительству или дочерней организации международной компании, если внутренними правилами установлено передавать данные об инцидентах в штаб-квартиру? Если их передавать в НКЦКИ, как предусмотрено 368-м приказом, то кто их потом и на каком языке передаст в штаб-квартиру?
5. Возможно ли применение SIEM иностранного производства в центрах ГосСОПКИ?
6. Насколько тяжело субъекту самостоятельно аккредитоваться в НКЦКИ, чтобы напрямую сообщать об инцидентах, или же рекомендуется обращаться к услугам специальных центров?
Надо ли что-то добавить/убрать? Буду ОЧЕНЬ благодарна за комментарии 🙏
Хочу обратиться к вам за помощью 🙏 Мне надо составить обновленный список вопросов для Диалога с регулятором на наших региональных Кодах ИБ к ФСТЭК и ГОССОПКА.
Раньше списки вопросов выглядели так:
ФСТЭК:
1. Какие изменения в законодательстве произошли за последнее время? К чему готовиться субъектам КИИ?
2. Как нужно обосновывать выбранное значение показателей критериев значимости (применимо, не применимо) в актах категорирования?
3. Как проводить контроль выполнения и оценки эффективности выполнения норм защиты информации на объектах КИИ?
4. Как актуализировать Перечень объектов КИИ, подлежащих категорированию, если после его отправки произошли изменения?
5. Если организация отослала акты категорирования ОКИИ в ЦА ФСТЭК и Управление ФСТЭК по ПФО, и прошло больше 30 дней, то можно считать, что объекты уже в реестре ФСТЭК?
6. Нужно ли отправлять перечень объектов КИИ во ФСТЭК России, если он пустой?
7. Как правильно организовать категорирование в случае наличия филиалов — достаточно одной комиссии или же нужно создавать несколько?
8. Когда делать модель угроз безопасности ОКИИ: до или после категорирования?
9. В реестр ФСТЭК попадают только значимые ОКИИ, или незначимые тоже?
10. Какие требования нужно выполнять для незначимых объектов КИИ?
11. Сведения о защите ОКИИ являются гос. тайной?
ГОССОПКА:
1. Какие существуют варианты организации взаимодействия с НКЦКИ? Зависят ли они от размера субъекта КИИ или количества инцидентов?
2. Как получить методические документы ФСБ (помимо шести утвержденных приказов)?
3. Требования 196-го приказа распространяются на любой объект КИИ любого субъекта КИИ или только для центров ГосСОПКИ?
4. Требования 368-го приказа запрещают прямую передачу данных об инцидентах в иностранные организации. Что делать представительству или дочерней организации международной компании, если внутренними правилами установлено передавать данные об инцидентах в штаб-квартиру? Если их передавать в НКЦКИ, как предусмотрено 368-м приказом, то кто их потом и на каком языке передаст в штаб-квартиру?
5. Возможно ли применение SIEM иностранного производства в центрах ГосСОПКИ?
6. Насколько тяжело субъекту самостоятельно аккредитоваться в НКЦКИ, чтобы напрямую сообщать об инцидентах, или же рекомендуется обращаться к услугам специальных центров?
Надо ли что-то добавить/убрать? Буду ОЧЕНЬ благодарна за комментарии 🙏
Вот это, мне кажется, вопрос для регулятора (ФСТЭК): https://t.me/KII187FZ/29418 , который также можно дополнить и значимыми ОКИИ.
V
Оператор Цода становится субъектом кии и должен категорировать свои системы
Павел, на каком основании? Субъект арендует отдельный кейдж с железом и лицензиями на ВИ и сам управляет ВИ. Между сегментом субъекта и ЦОДом сертиф. МЭ
N
Оператор Цода становится субъектом кии и должен категорировать свои системы
только в случае, если он непосредственно обеспечивает взаимодействие ОКИИ. Если там просто размещается ОКИИ, то нет
PK
только в случае, если он непосредственно обеспечивает взаимодействие ОКИИ. Если там просто размещается ОКИИ, то нет
Да, спс, за уточнение )
V
а что такое "обеспечивет взаимодействие" и чем оно обеспечивается?
N
а что такое "обеспечивет взаимодействие" и чем оно обеспечивается?
а вот тут при желании можно долго спорить, поэтому как раз можно спросить у регулятора
V
у какого регулятора? ФСТЭК не имеет полномочий трактовать 187-ФЗ
N
у какого регулятора? ФСТЭК не имеет полномочий трактовать 187-ФЗ
ну, тогда в Спортлото. Есть другие предложения?
ФСТЭК отвечает за ведение реестра ЗОКИИ, рассматривает процесс категорирования, занимается консультациями по вопросам определения ОКИИ - почему не спросить? РКН также не уполномочен, но по ПДн все его спрашивают, а в Минкомсвязь обращаются единицы и тоже мало какие ответы получают
ФСТЭК отвечает за ведение реестра ЗОКИИ, рассматривает процесс категорирования, занимается консультациями по вопросам определения ОКИИ - почему не спросить? РКН также не уполномочен, но по ПДн все его спрашивают, а в Минкомсвязь обращаются единицы и тоже мало какие ответы получают
DK
Valentin
Коллеги, субъект кии размещает незначимые объекты с стороннем ЦОДе частном облаке. ЦОДу ведь не нужно проводить категорирование в этом случае?
Частное облако обычно оператор телематики, т. е. самостоятельный субъект КИИ, самостоятельно категорирующий свои объекты.
Другое дело, должен ли он при этом учитывать, как работа ЦОД скажется на объектах КИИ, которые клиенты в нем разместили. Пока позиция ФСТЭК следующая:
1. Оператор ЦОД оценивает угрозы своей инфраструктуре и делает модель угроз по принципу "я считаю актуальными для себя вот такие угрозы и от них защищаюсь".
2. Клиент при размещении объекта КИИ в этом ЦОД запрашивает у оператора его модель угроз и учитывает ее при выборе мер зашиты.
При таком подходе оператору нет нужды подстраиваться под категории ОКИИ своих клиентов.
Другое дело, должен ли он при этом учитывать, как работа ЦОД скажется на объектах КИИ, которые клиенты в нем разместили. Пока позиция ФСТЭК следующая:
1. Оператор ЦОД оценивает угрозы своей инфраструктуре и делает модель угроз по принципу "я считаю актуальными для себя вот такие угрозы и от них защищаюсь".
2. Клиент при размещении объекта КИИ в этом ЦОД запрашивает у оператора его модель угроз и учитывает ее при выборе мер зашиты.
При таком подходе оператору нет нужды подстраиваться под категории ОКИИ своих клиентов.
V
Я рекомендую запрашиватьне ФСТЭК, а Минцифры. Думаю, что это их зона ответственности
DK
Я рекомендую запрашиватьне ФСТЭК, а Минцифры. Думаю, что это их зона ответственности
Конкретно этот вопрос действительно в компетенции Минцирка, потому что именно им поручено разработать вопросы взаимодействия ОКИИ с сетями электросвязи. Но учитывая уровень их компетентности, особого смысла таком запросе нет
v
коллеги, где законодательно определено понятие "непрерывный" мониторинг иб? В случае если мне требуются услуги на время проведения работ которые включены в понятие мониторинга с целью совершенствования мер безопасности, ваше мнение, законодательство обязывает иметь лицезию на мониторинг иб?
М
Да, конечно. Лицензия требуется