РМ
За невыполнение ФСТЭК без суда административку назначит
Это если последствий нет
Size: a a a
2021 March 17
K
Это если последствий нет
Ну так это уже другое
S
За невыполнение ФСТЭК без суда административку назначит
Ну в данном случае выполнить требования мы и хотим.
АС
Коллеги, добрый день!
А у кого-нибудь была практика взять на аутсорс компанию для выполнения требований приказа ФСТЭК 235, п.10, п.11. ( привлечение организаций-лицензиатов для осуществления функций по безопасности ЗОКИИ) ?
Есть ли какие-то подводные камни?
Кто будет нести ответственность за выполнение этих требований - Руководитель субъекта КИИ/ уполномоченное лицо/ Компания Лицензиат?
А у кого-нибудь была практика взять на аутсорс компанию для выполнения требований приказа ФСТЭК 235, п.10, п.11. ( привлечение организаций-лицензиатов для осуществления функций по безопасности ЗОКИИ) ?
Есть ли какие-то подводные камни?
Кто будет нести ответственность за выполнение этих требований - Руководитель субъекта КИИ/ уполномоченное лицо/ Компания Лицензиат?
Есть. Камней куча. Ответственность всё равно на нас.
S
Андрей Степанов
Есть. Камней куча. Ответственность всё равно на нас.
Каких камней, например?
АС
Коллеги приветствую.
Столкнулся с категорированием в области энергетики, а именно с ИСУЭ. Вопрос в том, что стоит ли рассматривать счетчики и УСПД в составе ИСУЭ или рассматривать их как отдельный объект?
На этот вопрос меня натолкнули два дока:
- Постановление Правительства РФ от 19 июня 2020 г. N 890 “О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)”
- МИНИСТЕРСТВО ЭНЕРГЕТИКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИКАЗ от 22 марта 2011 года N 86
Об утверждении Методических рекомендаций по техническим характеристикам систем и приборов учета электрической энергии на основе технологий интеллектуального учета
В первом говорится о "Перечень функций приборов учета электрической энергии, которые могут быть присоединены к интеллектуальной системе учета, и требования к ним". А во втором говорится, что счетчик входит в состав.
Столкнулся с категорированием в области энергетики, а именно с ИСУЭ. Вопрос в том, что стоит ли рассматривать счетчики и УСПД в составе ИСУЭ или рассматривать их как отдельный объект?
На этот вопрос меня натолкнули два дока:
- Постановление Правительства РФ от 19 июня 2020 г. N 890 “О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)”
- МИНИСТЕРСТВО ЭНЕРГЕТИКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИКАЗ от 22 марта 2011 года N 86
Об утверждении Методических рекомендаций по техническим характеристикам систем и приборов учета электрической энергии на основе технологий интеллектуального учета
В первом говорится о "Перечень функций приборов учета электрической энергии, которые могут быть присоединены к интеллектуальной системе учета, и требования к ним". А во втором говорится, что счетчик входит в состав.
Вроде как сам ответил на вопрос. В приказе МЭ же говорится, что входит
АС
Каких камней, например?
В основном - люди
АС
Договор надо грамотно писать. Понимать, что смогут сделать, а что нет. Понимать, как это должно быть сделано. Ну, и контроль. Надо понимать, как контролировать, все же врут )
S
Андрей Степанов
Договор надо грамотно писать. Понимать, что смогут сделать, а что нет. Понимать, как это должно быть сделано. Ну, и контроль. Надо понимать, как контролировать, все же врут )
Понятно)) спасибо за разъяснение
AM
Коллеги, добрый вечер.
Имеется организация, которая в свое время не была КСИИ и о 31 приказе ФСТЭК ничего не слышала, АСУ ТП защищала согласно iso2700*.
В конце прошлого года начали исполнять ГОЗ, соотв. закрутилась карусель с КИИ.
Вопрос следующий: на какой документ все-таки опираться при организации защиты АС УП/АСУ ТП - на 31 приказ, на 239 или на оба сразу?
А главное - как обосновать выбор контролирующим орган при осуществлении проверки (напр. прокурорской)?
Заранее благодарен за ответы.
Имеется организация, которая в свое время не была КСИИ и о 31 приказе ФСТЭК ничего не слышала, АСУ ТП защищала согласно iso2700*.
В конце прошлого года начали исполнять ГОЗ, соотв. закрутилась карусель с КИИ.
Вопрос следующий: на какой документ все-таки опираться при организации защиты АС УП/АСУ ТП - на 31 приказ, на 239 или на оба сразу?
А главное - как обосновать выбор контролирующим орган при осуществлении проверки (напр. прокурорской)?
Заранее благодарен за ответы.
V
Коллеги, добрый вечер.
Имеется организация, которая в свое время не была КСИИ и о 31 приказе ФСТЭК ничего не слышала, АСУ ТП защищала согласно iso2700*.
В конце прошлого года начали исполнять ГОЗ, соотв. закрутилась карусель с КИИ.
Вопрос следующий: на какой документ все-таки опираться при организации защиты АС УП/АСУ ТП - на 31 приказ, на 239 или на оба сразу?
А главное - как обосновать выбор контролирующим орган при осуществлении проверки (напр. прокурорской)?
Заранее благодарен за ответы.
Имеется организация, которая в свое время не была КСИИ и о 31 приказе ФСТЭК ничего не слышала, АСУ ТП защищала согласно iso2700*.
В конце прошлого года начали исполнять ГОЗ, соотв. закрутилась карусель с КИИ.
Вопрос следующий: на какой документ все-таки опираться при организации защиты АС УП/АСУ ТП - на 31 приказ, на 239 или на оба сразу?
А главное - как обосновать выбор контролирующим орган при осуществлении проверки (напр. прокурорской)?
Заранее благодарен за ответы.
это зависит от наличия у вас ЗОКИИ
V
если ваши АСУ отнесены к ЗОКИИ, то по 239
V
если к незначимым, то 31 приказ
AM
если ваши АСУ отнесены к ЗОКИИ, то по 239
Ну, насколько я понял последние изменения ПП-127, если есть ГОЗ, то без вариантов - минимум третья категория ЗОКИИ
V
вы не гадайте, а примите решение комиссией
AM
вы не гадайте, а примите решение комиссией
Я Вас понял, спасибо.
Ещё моомент: правильно ли я понимаю, что 31 приказ должен был исполняться предприятием ещё до момента появления ГОЗ, т.е. с момента его выхода и с КСИИ он не был связан напрямую?
Ещё моомент: правильно ли я понимаю, что 31 приказ должен был исполняться предприятием ещё до момента появления ГОЗ, т.е. с момента его выхода и с КСИИ он не был связан напрямую?
V
их два приказа, оба 31. Один прямо связан с ГОЗ - Приказ ФСТЭК России №31 от 28.02.2017 «Об утверждении Требований к обеспечению защиты информации содержащейся в ИСУП, используемых предприятиями оборонно-промышленного комплекса»
AM
Благодарю за Ваш ответ
2021 March 18
K
Kirill
Обязательно сообщать в НКЦКИ о мелких инцидентах, скажем пришел на почту пользователя файл с вирусом, антивирус его штатно отработал, последствий никаких?
В продолжение данной темы, пообщался с представителями НКЦКИ. Требуется обязательно уведомлять о компьютерных инцидентах (как понимаю таблица 2 из инструкции с сайта НКЦКИ). Уведомлять о компьютерных атаках (таблица 3 из инструкции с сайта НКЦКИ) можно по желанию. Соответственно Попытки внедрения модулей ВПО в контролируемый ИР (ОКИИ)
(infection attempt) относются к компьютерным атакам. И если это разово и без последствий, то получается по пустякам НКЦКИ можно не беспокоить.
(infection attempt) относются к компьютерным атакам. И если это разово и без последствий, то получается по пустякам НКЦКИ можно не беспокоить.
V
это пока КоАП для субъектов КИИ не вступил в силу. Никто из субъектов КИИ рисковать не захочет, тем более штрафует ФСБ, а не НКЦКИ.