V
ИБешников включили в комиссию по требовнаию самих ибешников. И только из-за требований в ПП127 рассматривать угрозы и уязвимости.
Size: a a a
2020 July 28
A
ИБешников включили в комиссию по требовнаию самих ибешников. И только из-за требований в ПП127 рассматривать угрозы и уязвимости.
За что боролись - на то и напоролись.
T
...
Коллеги, добрый день!
Извиняюсь за глупый вопрос.
Подскажите, где можно посмотреть на требования предъявляемые к специалисту который должен занимается информационной безопасностью на предприятии?
Там ведь вроде не кто попало должность занять может
Извиняюсь за глупый вопрос.
Подскажите, где можно посмотреть на требования предъявляемые к специалисту который должен занимается информационной безопасностью на предприятии?
Там ведь вроде не кто попало должность занять может
Наверное ответ в проф стандартах
АБ
За что боролись - на то и напоролись.
Как вы себе представляете комиссию например по пожарной безопасности без человека с профильным образованием?
A
Андрей Боровский
Как вы себе представляете комиссию например по пожарной безопасности без человека с профильным образованием?
Категориование ОКИИ само по себе не про ИБ, а про то, какие негативные последствия вызовет прекращение и/или приостановка деятельности объекта. А вот про ИБ уже реализация мер по ЗИ в зависимости от установленной категории.
И ничего в этом плохого не было бы, если бы все члены комиссии работали бы сообща, но иногда на практике получается ситуация, что руководители субъекта решают, что 187-ФЗ чисто для ИБ, вот поэтому пущай служба ИБ всем и занимается: сама считает недостачу в бюджеты и т.д. Это Вы считаете правильно?
По моему личному мнению, было вернее отдать установление категории ОКИИ как раз кому-то, кто непосредственно эксплуатирует объект, в ИБ привлекать уже тогда, когда категория установлена.
Разумеется, это мое мнение почиталось только из-за наблюдения такого похода.
И ничего в этом плохого не было бы, если бы все члены комиссии работали бы сообща, но иногда на практике получается ситуация, что руководители субъекта решают, что 187-ФЗ чисто для ИБ, вот поэтому пущай служба ИБ всем и занимается: сама считает недостачу в бюджеты и т.д. Это Вы считаете правильно?
По моему личному мнению, было вернее отдать установление категории ОКИИ как раз кому-то, кто непосредственно эксплуатирует объект, в ИБ привлекать уже тогда, когда категория установлена.
Разумеется, это мое мнение почиталось только из-за наблюдения такого похода.
АБ
Категориование ОКИИ само по себе не про ИБ, а про то, какие негативные последствия вызовет прекращение и/или приостановка деятельности объекта. А вот про ИБ уже реализация мер по ЗИ в зависимости от установленной категории.
И ничего в этом плохого не было бы, если бы все члены комиссии работали бы сообща, но иногда на практике получается ситуация, что руководители субъекта решают, что 187-ФЗ чисто для ИБ, вот поэтому пущай служба ИБ всем и занимается: сама считает недостачу в бюджеты и т.д. Это Вы считаете правильно?
По моему личному мнению, было вернее отдать установление категории ОКИИ как раз кому-то, кто непосредственно эксплуатирует объект, в ИБ привлекать уже тогда, когда категория установлена.
Разумеется, это мое мнение почиталось только из-за наблюдения такого похода.
И ничего в этом плохого не было бы, если бы все члены комиссии работали бы сообща, но иногда на практике получается ситуация, что руководители субъекта решают, что 187-ФЗ чисто для ИБ, вот поэтому пущай служба ИБ всем и занимается: сама считает недостачу в бюджеты и т.д. Это Вы считаете правильно?
По моему личному мнению, было вернее отдать установление категории ОКИИ как раз кому-то, кто непосредственно эксплуатирует объект, в ИБ привлекать уже тогда, когда категория установлена.
Разумеется, это мое мнение почиталось только из-за наблюдения такого похода.
Отсутствие в комиссии ИБшника не помешает повесить на него категорирование. Тем более 127 писался ИБшниками для ИБшников, да и культуры оценки рисков в России нет от слова совсем. Так что как не крути, но это крест ИБшника. И ему нужно либо вовлечь других в процесс, либо утопить в бюрократии запросов нужной информации :)
A
Андрей Боровский
Отсутствие в комиссии ИБшника не помешает повесить на него категорирование. Тем более 127 писался ИБшниками для ИБшников, да и культуры оценки рисков в России нет от слова совсем. Так что как не крути, но это крест ИБшника. И ему нужно либо вовлечь других в процесс, либо утопить в бюрократии запросов нужной информации :)
Вот согласен, что «отсутсвие в комиссии ИБшника не помешает провести на него категориование», поэтому и считал бы целесообразным его вообще туда не включать, чтобы не получалось вышеописанных ситуаций.
Но что написано, то написано, так и живем.
Но что написано, то написано, так и живем.
V
Это вс еот избыточности требовнаи йк процессу категорировнаия в пп127. Куча дейсвтий, которые на результат - решенеи о категории , вообще не влияют
2020 July 30
МК
Это вс еот избыточности требовнаи йк процессу категорировнаия в пп127. Куча дейсвтий, которые на результат - решенеи о категории , вообще не влияют
Вот именно,но на практике в 99% случаях весь процесс категорирования ОКИИ становится головной болью только безопасника . А остальные типа не при делах. И получается , что ты чуть ли не клещами должен выбить информацию из тех, кто по сути эксплуатирует объект. И все потом делают вид, что это только твоё и никому ничего не надо , кроме тебя .
A
Кто и как считает ущербы? Есть какие то таинства в этом процессе?
A
Вот екнется коммутатор уровня ядра сети, второй не подключится, банк весь встанет. А у нас сеть заявлена как КИИ.
V
Нет никаких таинств. Экспертно-аналитический метод рулит в этой области.
A
Прибыль банка 100500 в год. Значит убытки за сутки простоя 100500/365. Так что ли?
МК
На коленках да , но тут надо ещё посчитать потери оборудования, и трудозатраты на восстановление ( сколько специалистов с какой зп будут к примеру 24 часа работать над восстановлением)
SS
Andrew
Вот екнется коммутатор уровня ядра сети, второй не подключится, банк весь встанет. А у нас сеть заявлена как КИИ.
думаю у банка есть деньги на обновление оборудования, что бы оно не екалось просто так
V
Вы что считаете и для кого? " который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом 4, стратегическим предприятием 4, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)". Для банков вообще применяется другой показатель опять же не для всех банков
A
Спасибо. Да, у нас банк
V
Банк входит в "являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, "?
DK
Andrew
Вот екнется коммутатор уровня ядра сети, второй не подключится, банк весь встанет. А у нас сеть заявлена как КИИ.
Вы не с той стороны заходите.
Экономический показатель - это, грубо говоря, такие убытки, из-за которых выплаты организации в бюджеты РФ (налоги, акцизы и т.п.) снизятся больше, чем на 200 млн. рублей (0.001% годового дохода федерального бюджета). Поэтому:
1. Идете к рисковикам и уточняете, а у вас вообще есть оперриски с такими масштабами убытков? Может, у вас вообще таких оборотов гет. Если нет - экономический показатель вас не интересует совсем.
2. Если такие риски есть, уточняете, а что за событие может привести к таким убыткам. Простой инфраструктуры может к такому событию привести? Если нет - ваша сеть по этому показателю к значимым не относится.
3. И только если рисковикам считают, что простой инфраструктуры может привести к такому масштабу убытков, смотрите: приведет ли к такому простою выход из строя коммутаторов ядра сети.
Экономический показатель - это, грубо говоря, такие убытки, из-за которых выплаты организации в бюджеты РФ (налоги, акцизы и т.п.) снизятся больше, чем на 200 млн. рублей (0.001% годового дохода федерального бюджета). Поэтому:
1. Идете к рисковикам и уточняете, а у вас вообще есть оперриски с такими масштабами убытков? Может, у вас вообще таких оборотов гет. Если нет - экономический показатель вас не интересует совсем.
2. Если такие риски есть, уточняете, а что за событие может привести к таким убыткам. Простой инфраструктуры может к такому событию привести? Если нет - ваша сеть по этому показателю к значимым не относится.
3. И только если рисковикам считают, что простой инфраструктуры может привести к такому масштабу убытков, смотрите: приведет ли к такому простою выход из строя коммутаторов ядра сети.
A
Вы не с той стороны заходите.
Экономический показатель - это, грубо говоря, такие убытки, из-за которых выплаты организации в бюджеты РФ (налоги, акцизы и т.п.) снизятся больше, чем на 200 млн. рублей (0.001% годового дохода федерального бюджета). Поэтому:
1. Идете к рисковикам и уточняете, а у вас вообще есть оперриски с такими масштабами убытков? Может, у вас вообще таких оборотов гет. Если нет - экономический показатель вас не интересует совсем.
2. Если такие риски есть, уточняете, а что за событие может привести к таким убыткам. Простой инфраструктуры может к такому событию привести? Если нет - ваша сеть по этому показателю к значимым не относится.
3. И только если рисковикам считают, что простой инфраструктуры может привести к такому масштабу убытков, смотрите: приведет ли к такому простою выход из строя коммутаторов ядра сети.
Экономический показатель - это, грубо говоря, такие убытки, из-за которых выплаты организации в бюджеты РФ (налоги, акцизы и т.п.) снизятся больше, чем на 200 млн. рублей (0.001% годового дохода федерального бюджета). Поэтому:
1. Идете к рисковикам и уточняете, а у вас вообще есть оперриски с такими масштабами убытков? Может, у вас вообще таких оборотов гет. Если нет - экономический показатель вас не интересует совсем.
2. Если такие риски есть, уточняете, а что за событие может привести к таким убыткам. Простой инфраструктуры может к такому событию привести? Если нет - ваша сеть по этому показателю к значимым не относится.
3. И только если рисковикам считают, что простой инфраструктуры может привести к такому масштабу убытков, смотрите: приведет ли к такому простою выход из строя коммутаторов ядра сети.
Спасибо большое, Дмитрий