DK
Maksim Ivanov
Коллеги, такой вопрос: если ОКИИ не присвоено категории значимости, нужно ли разрабатывать систему безопасности на них ?
Нужно. Но не обязательно :)
Size: a a a
2021 March 09
MI
Нужно. Но не обязательно :)
Пожалуйста, поразвернутее можете подсказать?))
DK
Maksim Ivanov
Пожалуйста, поразвернутее можете подсказать?))
К ним нет обязательных требований, и никто вас не накажет, если вы не будете его защищать. Даже реагировать на инциденты с ними вы не обязаны, только сообщать о них.
MI
Спасибо Вам.
АС
3. По решению субъекта критической информационной инфраструктуры настоящие Требования могут применяться для обеспечения безопасности объектов критической информационной инфраструктуры, не отнесенных к значимым объектам
EP
Перечитав законадательсво, пересмотрев разные разъяснения по КИИ, ещё раз подтвердил свое мнение что ОКИИ это ИС, Асу, ИТКС действующее в критических процессах
N
ОМГ, нет, неужели опять все заново
АС
😂😂😂
АС
Ну, может у него аргументы есть
OS
Это тема вечная. 😁
K
Мазохистам предлагаю пролистать сообщений на 1000 выше и еще раз перечитать все сказанное на эту тему.
K
Egor Pankin
Перечитав законадательсво, пересмотрев разные разъяснения по КИИ, ещё раз подтвердил свое мнение что ОКИИ это ИС, Асу, ИТКС действующее в критических процессах
Софтлайн даже лицензии на ПО и акты оформить нормально не может. Я бы задумался о достоверности данного источника🤔
SK
Добрый вечер. Уже, думаю, не раз обсуждали этот вопрос, но все же задам еще раз. У нас в требованиях 239 есть меры ОПО. Как быть, если реализовать данные меры невозможно? Например, операционная система снята с поддержки, а новую железо не потянет? Что можно принять компенсирующими мерами? Ведь уязвимости публикуются тысячами (за 2020 коды cve перешагнули за 20000), под каждую же не получится разрабатывать отдельное решение? Может кто знает позицию регулятора по такому вопросу?
DK
Soier Ksu
Добрый вечер. Уже, думаю, не раз обсуждали этот вопрос, но все же задам еще раз. У нас в требованиях 239 есть меры ОПО. Как быть, если реализовать данные меры невозможно? Например, операционная система снята с поддержки, а новую железо не потянет? Что можно принять компенсирующими мерами? Ведь уязвимости публикуются тысячами (за 2020 коды cve перешагнули за 20000), под каждую же не получится разрабатывать отдельное решение? Может кто знает позицию регулятора по такому вопросу?
Добро пожаловать в клуб любителей моделирования угроз :)
Приказ 239 разрешает адаптировать меры защиты, заменяя неисполнимые альтернативами. Но:
1. "Железо не потянет" - само по себе не аргумент. Это должно быть очень специфическое железо, чтобы его замена была нецелесообразной по сравнению с последствиями эксплуатации уязвимостей. В принципе, прецеденты были, но там стоимость замены железа оценивалась в миллиарды рублей.
2. Чтобы ваши компенсирующие меры не выглядели отмазкой, вам понадобится чертовски убедительная, очень детальная модель угроз. И без неё вам никто не сможет сказать, какие именно меры можно признать адекватной компенсацией.
Приказ 239 разрешает адаптировать меры защиты, заменяя неисполнимые альтернативами. Но:
1. "Железо не потянет" - само по себе не аргумент. Это должно быть очень специфическое железо, чтобы его замена была нецелесообразной по сравнению с последствиями эксплуатации уязвимостей. В принципе, прецеденты были, но там стоимость замены железа оценивалась в миллиарды рублей.
2. Чтобы ваши компенсирующие меры не выглядели отмазкой, вам понадобится чертовски убедительная, очень детальная модель угроз. И без неё вам никто не сможет сказать, какие именно меры можно признать адекватной компенсацией.
SK
Добро пожаловать в клуб любителей моделирования угроз :)
Приказ 239 разрешает адаптировать меры защиты, заменяя неисполнимые альтернативами. Но:
1. "Железо не потянет" - само по себе не аргумент. Это должно быть очень специфическое железо, чтобы его замена была нецелесообразной по сравнению с последствиями эксплуатации уязвимостей. В принципе, прецеденты были, но там стоимость замены железа оценивалась в миллиарды рублей.
2. Чтобы ваши компенсирующие меры не выглядели отмазкой, вам понадобится чертовски убедительная, очень детальная модель угроз. И без неё вам никто не сможет сказать, какие именно меры можно признать адекватной компенсацией.
Приказ 239 разрешает адаптировать меры защиты, заменяя неисполнимые альтернативами. Но:
1. "Железо не потянет" - само по себе не аргумент. Это должно быть очень специфическое железо, чтобы его замена была нецелесообразной по сравнению с последствиями эксплуатации уязвимостей. В принципе, прецеденты были, но там стоимость замены железа оценивалась в миллиарды рублей.
2. Чтобы ваши компенсирующие меры не выглядели отмазкой, вам понадобится чертовски убедительная, очень детальная модель угроз. И без неё вам никто не сможет сказать, какие именно меры можно признать адекватной компенсацией.
Невозможность замены железа считаю нормальный аргумент, учитывая, что, в большинстве случаев, как мне кажется, зокии еще и опо, а значит к стоимости железа еще ложится проектирование и т.д.) в общем оба ваши пункта принимаю, и частично согласен, но ответа на вопрос «что же делать» они не дают)
DK
Soier Ksu
Невозможность замены железа считаю нормальный аргумент, учитывая, что, в большинстве случаев, как мне кажется, зокии еще и опо, а значит к стоимости железа еще ложится проектирование и т.д.) в общем оба ваши пункта принимаю, и частично согласен, но ответа на вопрос «что же делать» они не дают)
Вы же про позицию ФСТЭК спросили? Сама по себе необходимость замены железа - не аргумент, даже если вы считаете иначе
SK
Вы же про позицию ФСТЭК спросили? Сама по себе необходимость замены железа - не аргумент, даже если вы считаете иначе
Т.е. их позиция - меняйте железо?
DK
Soier Ksu
Т.е. их позиция - меняйте железо?
Нет, их позиция - два пункта, которые ч нарисал
SK
Нет, их позиция - два пункта, которые ч нарисал
Ок, спасибо
2021 March 10
S
Soier Ksu
Добрый вечер. Уже, думаю, не раз обсуждали этот вопрос, но все же задам еще раз. У нас в требованиях 239 есть меры ОПО. Как быть, если реализовать данные меры невозможно? Например, операционная система снята с поддержки, а новую железо не потянет? Что можно принять компенсирующими мерами? Ведь уязвимости публикуются тысячами (за 2020 коды cve перешагнули за 20000), под каждую же не получится разрабатывать отдельное решение? Может кто знает позицию регулятора по такому вопросу?
Бумага всё стерпит и закроет уязвимости😁😁😁