АС
Мы же выясняем критерии отнесения пользователей к ИС
Size: a a a
2021 March 03
M
Я три года назад задавал вопрос Лютикову, что делать с гражданами, которые пользуются услугами с личных устройств, получаемых от объектов КИИ органов власти. Внятного ответа не последовало. Был озвучен тезис о критерии - только чтение информации или с возможностью вносить и изменять информацию в ГИС
Ну я со своего телефона могу и внести информацию и удалить (логически) и прочитать во многие системы (например госуслуги)
V
Андрей Степанов
Щас мэтр ответит )
Какая методика? по моделям угроз?
АС
Валерий, соберитесь )
АС
Vladimir
Какая методика? по моделям угроз?
Если быть точным - по оценке угроз )
M
А вообще да, история давняя. Мнения разные.
V
Я уже озвучил свою позицию. Если пользовательские устройства не принадлежат субъекту КИИ, то они в составе ОКИИ не указываются. Но пользовательский сегмент на этом ОКИИ есть и защищается. В проекте, МУ, аттестат есть. В техпаспорте объекта только устройства собственные.
V
Это если зокии
V
Тут правда в полный рост встанет доступ с личных телефонов работников субъекта кии
АС
В составе ОКИИ да, согласен. Но мы же тут говорим о границах в части оценки угроз, как я понимаю
V
Vladimir
Коллеги! Интересует Ваше мнение по определению границ объекта КИИ, в частности когда одни и те же АРМ (пользовательские ПК, подключенные к сети) используются для работы в нескольких ИС. Если эти АРМ включать в состав этих объектов КИИ, то инцидент на одном из АРМ будет означать инцидент сразу на нескольких объектах КИИ. ФСТЭК отдает субъектам на откуп вопрос определения границ объектов и их дробления. Есть у кого-либо какой-нибудь сформированный подход к этому?
Вообще то вот это обсуждаем
АС
Это частный случай
АС
В целом интереснее обсудить )
АС
И даже в этом частном случае остается вопрос с ИАФ.6 Внешними пользователями
V
Андрей Степанов
В составе ОКИИ да, согласен. Но мы же тут говорим о границах в части оценки угроз, как я понимаю
Тут сразу несколько моментов: оценка угроз, что именно должна охватывать система безопасности ЗОКИИ, определение ответственных, определение участников реагирования и получаемая статистика инцидентов
АС
Очевидно, что они должны включаться в границы ОКИИ
АС
Vladimir
Тут сразу несколько моментов: оценка угроз, что именно должна охватывать система безопасности ЗОКИИ, определение ответственных, определение участников реагирования и получаемая статистика инцидентов
Воу-воу ))). Так много мы не осилим )))
V
А ещё уголовная ответственность за нарушение правил эксплуатации 🙀
V
Андрей Степанов
Очевидно, что они должны включаться в границы ОКИИ
Вы прямо с языка сняли
АС
Вот жаль, что Валерий молчит