Софт, в котором анализом кода не чесались, заведомо хуже того, в котором чесаться, начали. Это - медицинский факт.

Вы не учитывать человеческий фактор. Первая реакция - "ща мы быренько заплатим за оценку, нам нарисуют бумажку". Вторая - "наши рукожопы умудрились столько наворотить?" и дальше начинаются телодвижения по жизненном у циклу. Так бывает почти всегда.

Не нашел этих пунктов на сайте ФСТЭК :(
Но я понял о каких пунктах речь.
Вот только их взаимосвязь с поставщиком услуг я не углядел. Тем проще для меня, буду приводить в соответствие требованиям системы моего заводика, а не сторонних организаций.
Иногда мы усложняем себе жизнь на ровном месте :(

Вы обязаны провести испытания всех мер защиты. Включая те меры защиты среды виртуализации, которые в отношении ваших объектов выполняет поставщик услуги. Удачи :)

Моих мер защиты, моих средств защиты информации.
Спасибо ;)

А вы методику проведения инспекций читали? Нет, наверное. Тогда сюрприз - ни фига подобного :)

Так вот, согласно этой методике инспектор будет проверять все базовые меры защиты, и его не будет интересовать, кто их реализует. Есть компоненты ЗОКИИ в облаке - извольте а) предоставить определенный набор свидетельств того, как они реализованы и б) дать ему пощупать их руками. Что говорите, не можете? Какая досада, это нарушение первой категории, извольте устранить.

Дальше интереснее. Формальных оснований оспорить такое предписание у вас нет, и через 10 дней оно станет преюдицией - достоверно установленным фактом невыполнения вами требований безопасности. Если после этого, не дай бог, через ЦОД будет причинен "вред КИИ", следствию даже ничего доказывать не нужно будет: факт невыполнения вами отдельных требований безопасности достоверно установлен, и именно они-то и стали причиной инцидента. А это уже статья УК РФ.

Это всего - лишь статья за халатность, которую ещё применить надо уметь

А разглашение ПД - это всего лишь разглашение ПД. Это не мешает выносить приговоры по 274.1

Кто именно за это получит приговор - уже не так интересно. По пожарной безопасности и руководителей организаций сажают - не вижу причин, почему тут не может быть того же. Зависит от масштабов вреда

Если мне память не изменяет, крупный ущерб там трактуется свыше 1млн. Если это реально критичная система, получить такой ущерб можно на раз. Для условного метрополитена это буквально минута простоя.

Ну не серьезно ведь. Если менеджеру лень нанять адвоката, и он готов сам себе срок приговорить, то зачем это переносить на адекватных людей. "За оказание юридической помощи Козлову С.С. адвокату К...А.В. судом постановлено выплатить вознаграждение в сумме 5 376 рублей. " Вот и получил 2 году уголовки за  5000 рублей гонорара.

Прям слова практикующего адвоката с десятками оправдательный приговоров на счету :) А я вот с тем же основанием считаю, что там шансов не было никаких, вопрос был только в размере наказания. Человек, благодаря грамотной позиции, получил минимум - сам я поступил бы так же.

Но речь не об этом. Субъект КИИ обязан предоставить определенные свидетельства доверия. В случае внешнего ЦОД эти свидетельства можно только получить от ЦОД. И если ЦОД не готов их предоставить - это прям целый веер персональных рисков для отдельных сотрудников субъекта. Чем они могут обернуться - отдельный вопрос в каждом конкретном случае.

Дождемся судебной практики по 274.1 в отсутствие "особого порядка" и увидим. Я уже писал, что за аналогичный состав преступления, работники телекома в это же время получили судебные штрафы и вообще без срока. И это по преступлению в составе группы. Судебный процесс он состязательность сторон предусматривает.

Я ж не говорю "персональные приговоры", я говорю "персональные риски". Если тебе (не дай Бог) не повезет попасть под показательные порку с реальным сроком - тебя сильно утешит, что по статистике такой исход бывает только один раз на сотню?

Методику не читал.
У моего свечного заводчика нет возможности закрыть все риски.
Приход инспектора с подобными запросами для системы, где нет защищаемых сведений, я оцениваю менее вероятным чем успешная хакерская атака.  И вся статистика моего заводика говорит, что вероятность что вред моему ОКИИ будет нанесен нетрезвым, неопытным, неаккуратным работником, природным явлением или недобросовестным поставщиком/подрядчиком на несколько порядков выше чем злобным хакером через ЦОД :)
Все-таки при построении системы защиты здравый смысл стоит использовать.
Даже тщательнейшая проработка безопасности систем не гарантирует, что условный инспектор не сможет "докопаться". Стоит ли этого так сильно опасаться🤔

А это уже ваша личная оценка ваших личных рисков, тут вам никто не советчик.

От тюрьмы и от сумы не зарекайся. Ты ведь не прекращаешь водить авто, зная статистику уголовных дел за управление средством повышенной опасности. Проблема в том, что создание системы безопасности ЗОКИИ не сильно снижает риск уголовной ответственности,а вот привлечение грамотного юриста позволяет. И стоит это намного дешевле.

Плохая аналогия :)

Если мы обсуждаем "стоит ли осознанно идти на нарушение, зная, что оно может привести к вот таким последствиям", тогда приводи аналогию не с вождением, а с пьяным вождением - и мир сразу заиграет другими красками.

Именно зная статистику уголовных дел и приговоров, я и сам никогда не рисковал выпивать за рулем, и близким не позволяю. А есть те, кто считает это вполне допустимым - с ними же ничего не случится.

причем здесь пьянка?  болтовня по телефону, неисправные световые приборы, летняя резина в гололед - список можно продолжать бесконечно. Банальное превышение скорости, приведшее к дтп. Более того, практика привлечения водителя при дтп с пешеходом вообще прекрасно. Ты мог соблюдать все, но все равно поедешь на поселение, потому что управлял средством повышенной опасности. Вот так и с КИИ. Работаешь в 13 сферах из 187-ФЗ = будь морально готов к уголовке по 274.1

Я могу поехать на поселение, соблюдая все правила. Но сознательно нарушая правило, я увеличиваю вероятность этого события. Это азы теории вероятностей :)

Мы обсуждаем дополнительные риски, которые возникают при размещении ЗОКИИ в чужой инфраструктуре, когда нет возможности выполнить все формальности.

Тот факт, что кроме этих рисков есть еще и риски связанные с "все сделал , не повезло", никто не отрицает