Ну, кому что мешает? Ну, есть странные вещи в НПА, это сильно мешает работе? Нельзя провести категорирование?

Ощущение, что большинство в чате - перфекционисты )

Технари)

категорирование чего? четвертый год все споры вокруг того - кто должен категорирование проводить и что он должен категорировать

👍

ФСТЭК явное не ожидала от вашего вопроса темы с ТСЖ😁😁😁

Может я идеалист, но вот, например, такая ситуация. Есть цель - обеспечение безопасности Систем, не будем пока привязываться к тому, что такое объекты КИИ. Почему нельзя двигаться к цели? Ведь НПА это не самоцель, это способ достижения. Почему нельзя творчески подходить к достижению цели?

Специалист же "пролетарским чутьем" может понять чего надо делать, а чего нет. Что помогает ему достичь цели, а что нет

кончится привлечением такого идеалиста к уголовной ответственности за нецелевое расходование средств и всех делов. НПА это основание что то тратить и не научится побочно лес валить

Кстати, давно хотел задать этот вопрос и обсудить. Из ПП-127 получается, что к моменту формирования требований к обеспечению безопасности ОКИИ должен быть категорирован. При категорировании должны быть рассмотрены угрозы безопасности, но разработка МУ отнесена на стадию проектирования. Вот тут у меня вопрос - откуда берутся угрозы для категорирования?

ФСТЭК это ФОИВ. Он занимается регулированием вопросов в рамках своей зоны компетенции. И, впринципе, неплохо с ними справляется, НО как и в любом фоив там текучка кадров, низкая з.п. Помимо всего прочего он открыт для диалога - вебинары, семинары - везде присутствуют руководящие лица, ответственные за принятие решения. Заметьте, не консультанты и простые спецы. И они идут на диалог, конструктивный диалог - спорят, соглашаются. Естественно в цифровом мире без экспертов нельзя и ФСТЭК их приглашает. А вот большинству руководителей предприятий и контор пофиг на ИБ. В пекло они кидают обычных спецов, которые порой не имеют право голоса. Документы по 187-фз, хоть и имеют недоработки, но в целом построены грамотно и строят систему категорирования обратно от организационного уровня к техническому. Везде свои цели, но говорить что все плохо и виноват фоив, ну наверное это перегиб )

Если брать конкретно ПП127, как единственный и основной документ по категорированию, то он  - логически не связанный, избыточно усложненный, содержит необоснованные показатели категорий значимости. Да и построен в противоречие 187-ФЗ. Сравните с классификацией ИСПДн или ГИС. Кратко и просто. Или задумайтесь, зачем при наличии такого отличного документа, ФСТЭК разрабатывает методику организации работы комиссии по категорированию. Три года методики расчета показателей не может разработать.

ФСТЭК если не успевает может и спецов из вне привлекать для решения собственных задач или точнее консультаций))), но во что это всё в итоге превращается мы все можем наблюдать, появляются новые консалтинговые конторки, готовые оказать услуги по КИИ за невменяемые деньги. С этим тоже что то надо делать. От нас требуют быть профессионалами, а они сами таковыми быть не собираются или не получается. Как то странно получается...😔 и печально.

Мне кажется, что рук доки пишут совсем не безопасники по специальности, плюс без опыта реализации. Вот и получается, что есть читатели, а есть писатели. )

Тут как то затрагивалась тема нытья по поводу отсутствия денег на ИБ, КИИ и т.п. Я так думаю, что если уж у Газпрома и Почты денег на импортозамес, а сюда и КИИ в том числе входит, то у обычных даже крупных компаний денег для жадных до них вендоров и консалтеров тем более нет. Так что давайте не будем обсуждать ныть или не ныть, денег объективно на все хотелки фоив не хватает и не хватит и без господдержки не обойтись. Просто у кого-то хватает смелости об этом говорить, а кто то купоны стрижёт....

Рукдоки пишут вендоры и интеграторы, это давно известно, но тсссссс!!!!

Все было сказано еще в 2018 году - http://gatamanov.blogspot.com/2018/07/187_30.html#more, http://gatamanov.blogspot.com/2018/07/187.html#more, http://gatamanov.blogspot.com/2018/07/187_23.html

Даааа, 😒😒😒😒очень метко и в тему. Я эту заметку не видел раньше.

Автор из  старой школы ФСТЭК.  - "С января 1982 г. по январь 2003 г. проходил службу в Специальном центре Государственной технической комиссии в г. Волгоград в должностях от старшего инженера до начальника центра. Основное направление деятельности – контроль состояния работ по защите информации ограниченного распространения от утечки по техническим каналам на предприятиях ВПК и в органах власти. В январе 2003 г. уволен из рядов Вооруженных Сил, полковник запаса. С января 2003 г. по июль 2015 г. работал в администрации г. Волгограда в должности начальника отдела защиты информации."

Верится с трудом. Я знаю достаточное число представителей старой школы. Причем с хорошей стороны. Это больше похоже на записки "деффективного менеджера".