S
Сегодня уже писали о том, что нельзя все сукии грести под одну гребёнку
Size: a a a
2021 February 26
V
Алексей П
Да, есть статья 19.6.1 - наказание для должностных лиц, но я ни разу не слышал, чтобы ее применяли к должностным лицам, в том числе и к ФСТЭК. "Под раздачу" попадали максимум рядовые сотрудники
так она только к должностным лицам применяется. Судебная практика вполне обширна. И логично что наказывают исполнителя, а кто должен был ответ подготовить? Начальник задачу расписал, к нему вопросов нет по этому составу праовнарушения
N
Сегодня уже писали о том, что нельзя все сукии грести под одну гребёнку
Предприятия ОПК это как раз "одна Гребёнка", не?)
S
N S M
Предприятия ОПК это как раз "одна Гребёнка", не?)
Имеется в виду предприятия разных отраслей. Ну нельзя значимость АСУ в ТЭК и АСУ в ОПК сравнивать. Тем более что именно АСУ в том понятии как в ТЭК в ОПК практически нет. Если не рассматривать в таком контексте станок с ЧПУ или блок ЭБУ авто
N
Так это не ФСТЭК должна была привести доводы, а субъект :)
По показателю 13 АСУ попадает в ЗОКИИ, если её простой может хотя бы на день задержать исполнение ГОЗ. Так что у субъекта есть только варианта:
1. АСУ не участвует в исполнении ГОЗ. Это не так, так как её включили в перечень.
2. АСУ даже теоретически не подвержена угрозам, приводящим к остановке техпроцесса. Наверное, бывает, на каком-нибудь совсем уж допотопном производстве.
3. АСУ подвержена таким угрозам. Субъект был обязан рассмотреть наихудший сценарий: нарушитель целенаправленно выводит из строя вообще все оборудование, которое потенциально можно вывести из строя.
Если в варианте 3 субъект написал, что при этом он все равно в срок выполнит любой ГОЗ, то кто ж ему доктор?
По показателю 13 АСУ попадает в ЗОКИИ, если её простой может хотя бы на день задержать исполнение ГОЗ. Так что у субъекта есть только варианта:
1. АСУ не участвует в исполнении ГОЗ. Это не так, так как её включили в перечень.
2. АСУ даже теоретически не подвержена угрозам, приводящим к остановке техпроцесса. Наверное, бывает, на каком-нибудь совсем уж допотопном производстве.
3. АСУ подвержена таким угрозам. Субъект был обязан рассмотреть наихудший сценарий: нарушитель целенаправленно выводит из строя вообще все оборудование, которое потенциально можно вывести из строя.
Если в варианте 3 субъект написал, что при этом он все равно в срок выполнит любой ГОЗ, то кто ж ему доктор?
4. Вариант - в кладовке, что за актовым залом лежит дублирующая асу/ИС/иткс, которая вводится в течении 10 минут. В результате чего непрерывность технологического процесса не нарушается и ГОЗ выполняется в полном объеме).
S
Так это не ФСТЭК должна была привести доводы, а субъект :)
По показателю 13 АСУ попадает в ЗОКИИ, если её простой может хотя бы на день задержать исполнение ГОЗ. Так что у субъекта есть только варианта:
1. АСУ не участвует в исполнении ГОЗ. Это не так, так как её включили в перечень.
2. АСУ даже теоретически не подвержена угрозам, приводящим к остановке техпроцесса. Наверное, бывает, на каком-нибудь совсем уж допотопном производстве.
3. АСУ подвержена таким угрозам. Субъект был обязан рассмотреть наихудший сценарий: нарушитель целенаправленно выводит из строя вообще все оборудование, которое потенциально можно вывести из строя.
Если в варианте 3 субъект написал, что при этом он все равно в срок выполнит любой ГОЗ, то кто ж ему доктор?
По показателю 13 АСУ попадает в ЗОКИИ, если её простой может хотя бы на день задержать исполнение ГОЗ. Так что у субъекта есть только варианта:
1. АСУ не участвует в исполнении ГОЗ. Это не так, так как её включили в перечень.
2. АСУ даже теоретически не подвержена угрозам, приводящим к остановке техпроцесса. Наверное, бывает, на каком-нибудь совсем уж допотопном производстве.
3. АСУ подвержена таким угрозам. Субъект был обязан рассмотреть наихудший сценарий: нарушитель целенаправленно выводит из строя вообще все оборудование, которое потенциально можно вывести из строя.
Если в варианте 3 субъект написал, что при этом он все равно в срок выполнит любой ГОЗ, то кто ж ему доктор?
Доводы привели в сведениях.
S
Доводы привели в сведениях.
А ФСТЭК не привела....
N
Имеется в виду предприятия разных отраслей. Ну нельзя значимость АСУ в ТЭК и АСУ в ОПК сравнивать. Тем более что именно АСУ в том понятии как в ТЭК в ОПК практически нет. Если не рассматривать в таком контексте станок с ЧПУ или блок ЭБУ авто
Если рассматривать под микроскопом возможно ты и прав, но кто ж это будет делать в наше неспокойное время когда США кричит об ответных мерах на хакерские атаки из России, а ГОЗ и сведения по ГОЗ из ОПК должны быть под надёжным колпаком) Выпущенная методика по экономике также по своей сути направлена на разделение "крупных и мелких яиц". Риск ориентированный подход в фоив внедрён давно. ФНС кстати давно проверяет только крупняк.
DK
Доводы привели в сведениях.
Значит, такие доводы.
У предприятия очень короткий, цикл производства, всего несколько месяцев. Несколько месяцев - это время, которое промышленному предприятию требуется для того, чтобы восстановить прежний объем производства после хорошо организованной атаки шифровпльщика на офисные компы - Norsk Hydro не даст соврать. Если бы в результате атаки была залита битая прошивка на станки, предприятие не начало бы работать и через несколько лет.
Я не знаю техпроцесса и не видел доводов, которые приводил субъект. Но прям мне очень сомнительно, что он в принципе может обосновать невлияние инцидентов аисполнение ГОЗ.
У предприятия очень короткий, цикл производства, всего несколько месяцев. Несколько месяцев - это время, которое промышленному предприятию требуется для того, чтобы восстановить прежний объем производства после хорошо организованной атаки шифровпльщика на офисные компы - Norsk Hydro не даст соврать. Если бы в результате атаки была залита битая прошивка на станки, предприятие не начало бы работать и через несколько лет.
Я не знаю техпроцесса и не видел доводов, которые приводил субъект. Но прям мне очень сомнительно, что он в принципе может обосновать невлияние инцидентов аисполнение ГОЗ.
N
Значит, такие доводы.
У предприятия очень короткий, цикл производства, всего несколько месяцев. Несколько месяцев - это время, которое промышленному предприятию требуется для того, чтобы восстановить прежний объем производства после хорошо организованной атаки шифровпльщика на офисные компы - Norsk Hydro не даст соврать. Если бы в результате атаки была залита битая прошивка на станки, предприятие не начало бы работать и через несколько лет.
Я не знаю техпроцесса и не видел доводов, которые приводил субъект. Но прям мне очень сомнительно, что он в принципе может обосновать невлияние инцидентов аисполнение ГОЗ.
У предприятия очень короткий, цикл производства, всего несколько месяцев. Несколько месяцев - это время, которое промышленному предприятию требуется для того, чтобы восстановить прежний объем производства после хорошо организованной атаки шифровпльщика на офисные компы - Norsk Hydro не даст соврать. Если бы в результате атаки была залита битая прошивка на станки, предприятие не начало бы работать и через несколько лет.
Я не знаю техпроцесса и не видел доводов, которые приводил субъект. Но прям мне очень сомнительно, что он в принципе может обосновать невлияние инцидентов аисполнение ГОЗ.
+
DK
N S M
4. Вариант - в кладовке, что за актовым залом лежит дублирующая асу/ИС/иткс, которая вводится в течении 10 минут. В результате чего непрерывность технологического процесса не нарушается и ГОЗ выполняется в полном объеме).
Нет такого варианта. Станки в холодном резерве - это мера защиты, которая появляется из-за угрозы
DK
По 13 показателю могла бы идти речь о каких-то обоснованиях, если бы нижняя граница третьей категории отличалась от нуля
N
Нет такого варианта. Станки в холодном резерве - это мера защиты, которая появляется из-за угрозы
На самом деле это позиция ( наличие дублирующих девайсов, процессов и т.п.) обоснования широко применяется у СУКИИ и частично ФСТЭК с ней соглашается, хотя по своей сути ты прав. Кстати, о данных трактовках как раз говорили ФСТЭК на мероприятиях в начале этого года ибо похоже им уже приелось слышать одно и тоже от СУКИИ
S
Значит, такие доводы.
У предприятия очень короткий, цикл производства, всего несколько месяцев. Несколько месяцев - это время, которое промышленному предприятию требуется для того, чтобы восстановить прежний объем производства после хорошо организованной атаки шифровпльщика на офисные компы - Norsk Hydro не даст соврать. Если бы в результате атаки была залита битая прошивка на станки, предприятие не начало бы работать и через несколько лет.
Я не знаю техпроцесса и не видел доводов, которые приводил субъект. Но прям мне очень сомнительно, что он в принципе может обосновать невлияние инцидентов аисполнение ГОЗ.
У предприятия очень короткий, цикл производства, всего несколько месяцев. Несколько месяцев - это время, которое промышленному предприятию требуется для того, чтобы восстановить прежний объем производства после хорошо организованной атаки шифровпльщика на офисные компы - Norsk Hydro не даст соврать. Если бы в результате атаки была залита битая прошивка на станки, предприятие не начало бы работать и через несколько лет.
Я не знаю техпроцесса и не видел доводов, которые приводил субъект. Но прям мне очень сомнительно, что он в принципе может обосновать невлияние инцидентов аисполнение ГОЗ.
Я вам наверное не открою тайны, если скажу, что лишь очень немногие люди на крупных и не очень крупных предприятиях знают все технологические процессы. Предприятия подобно этому до сих пор живёт в 20 веке с элементами 21. Так что никаких сравнений этого предприятия с Airbus или подобными иностранными предприятиями даже близко быть не может. Ни по выручке, ни по техпроцессам
S
ФСТЭК запретил привлекать сторонние организации для участия в категорировании, поэтому как смогли.
DK
N S M
На самом деле это позиция ( наличие дублирующих девайсов, процессов и т.п.) обоснования широко применяется у СУКИИ и частично ФСТЭК с ней соглашается, хотя по своей сути ты прав. Кстати, о данных трактовках как раз говорили ФСТЭК на мероприятиях в начале этого года ибо похоже им уже приелось слышать одно и тоже от СУКИИ
Даже не споря с этой позицией.
Резервные станки подвержены атаке? В варианте 3 при наихудшем сценарии они или убиты нарушителем сразу же после запуска, или могут быть запущены только после ликвидации последствий инцидента и затыкания всех выявленных дыр в безопасности - т. е. задержка исполнения ГОЗ на месяцы.
Резервные станки не подвержены атаке? Производство может быть возобновлено только после согласования изменений в техпроцесса с военной приемной и пересертификации нового производства по ГОСТ РВ 15. Т.е. опять месяцы
Резервные станки подвержены атаке? В варианте 3 при наихудшем сценарии они или убиты нарушителем сразу же после запуска, или могут быть запущены только после ликвидации последствий инцидента и затыкания всех выявленных дыр в безопасности - т. е. задержка исполнения ГОЗ на месяцы.
Резервные станки не подвержены атаке? Производство может быть возобновлено только после согласования изменений в техпроцесса с военной приемной и пересертификации нового производства по ГОСТ РВ 15. Т.е. опять месяцы
S
Даже не споря с этой позицией.
Резервные станки подвержены атаке? В варианте 3 при наихудшем сценарии они или убиты нарушителем сразу же после запуска, или могут быть запущены только после ликвидации последствий инцидента и затыкания всех выявленных дыр в безопасности - т. е. задержка исполнения ГОЗ на месяцы.
Резервные станки не подвержены атаке? Производство может быть возобновлено только после согласования изменений в техпроцесса с военной приемной и пересертификации нового производства по ГОСТ РВ 15. Т.е. опять месяцы
Резервные станки подвержены атаке? В варианте 3 при наихудшем сценарии они или убиты нарушителем сразу же после запуска, или могут быть запущены только после ликвидации последствий инцидента и затыкания всех выявленных дыр в безопасности - т. е. задержка исполнения ГОЗ на месяцы.
Резервные станки не подвержены атаке? Производство может быть возобновлено только после согласования изменений в техпроцесса с военной приемной и пересертификации нового производства по ГОСТ РВ 15. Т.е. опять месяцы
Военная приемка согласовывает особо ответственные или специальные техпроцессы.
DK
13й показатель для ОПК и формулировался, так, чтобы у производства не было возможности откосить от защиты производства
DK
Военная приемка согласовывает особо ответственные или специальные техпроцессы.
В них не используется оборудование, подверженное угрозам? :)
Чуете, сколько "если" нужно учесть субъекту, чтобы обосновать незначимость по показателю 13? ФСТЭК для отказа достаточно того, что это обоснование не убедительно
Чуете, сколько "если" нужно учесть субъекту, чтобы обосновать незначимость по показателю 13? ФСТЭК для отказа достаточно того, что это обоснование не убедительно
N
13й показатель для ОПК и формулировался, так, чтобы у производства не было возможности откосить от защиты производства
Этот показатель можно обойти лишь обосновав длинным циклом производства продукции. Но обратно же ГОЗ ведь тоже длится на виды: производство новой и ремонт старой. Если ОПК осуществляет по ГОЗ ремонт и обслуживание старой то этот показатель не обойдешь. Но тип ГОЗ не указывается в сведениях, поэтому многие и обосновывают длинным тех процессом))