AZ
По 4.2 был официальный релиз , а дальше только от них.
Size: a a a
2021 August 31
KF
Нашел.
AL
🔊 Актуальные вопросы построения защиты объектов КИИ. Сессия ответов на вопросы аудитории. Алексей Кубарев (ФСТЭК России):
• построение системы безопасности ЗОКИИ - обязанность владельца ЗОКИИ, для решения которой по его решению могут привлекаться организации-лицензиаты ФСТЭК России;
• разработка модели угроз - не лицензируемый вид деятельности, равно как и категорирование ОКИИ, поэтому для выполнения этих задач необязательно привлекать лицензиатов ФСТЭК России, но А. Кубарев рекомендует указанные задачи решать владельцам ОКИИ самостоятельно или с привлечением организации-лицензиатов ФСТЭК России (лицензия ТЗКИ с видом работ: создание систем защиты информации);
• базовый и базовый повышенный нарушитель из методики моделирования угроз соответствует базовому из БДУ;
• представление новой БДУ запланировано на начало следующего года;
• модели угроз для ЗОКИИ, не являющиеся ГИС, согласовывать с ФСТЭК России не требуется;
• водоканалы все ещё не являются СКИИ, если у них нет каких-то иных ИС/ИТС/АСУ из 13 сфер, предусмотренных 187-ФЗ;
• АСУ мини-котельной многоквартирного жилого дома - ОКИИ;
• некоторые муниципалитеты (на добровольных началах) и букмекерские конторы - СКИИ;
• отсутсвие ОКИИ подтверждается комиссией организации (соответствующим решением, оформленным документально в соотвествии с принятыми нормами делопроизводства);
• у СКИИ все ИС/ИТС/АСУ - ОКИИ независимо от функционирования в одной из 13 сфер, определённых 187-ФЗ (иными словами, если организация СКИИ, то целесообразно все принадлежащие ей ИС/ИТС/АСУ считать ОКИИ);
• ФСТЭК России не видит целесообразности в том, чтобы категорирование ОКИИ осуществлялось специально уполномоченным ФОИВ (никто лучше самого СКИИ не знает свои ОКИИ);
• несмотря на вступление с 01.09.2021 года поправок в КОАП, предусматривающих наказание за не создание систем безопасности ЗОКИИ, ФСТЭК России не планирует штрафовать СКИИ сразу (подход будет максимально лояльным, но учитывающим особенности СКИИ и конкретную ситуацию), избежать штрафа поможет, например, наличие плана (утверждённого) по созданию соответствующей системы безопасности ЗОКИИ;
• ФСТЭК России планирует издание методического документа по мерам защиты из 239-го приказа (по аналогии с мерами из 17-го приказа для ГИС);
• установление дополнительных требований по безопасности для незначимых ОКИИ не планируется (пока не планируется);
• у СКИИ обязательно должен быть штатный работник, ответственный за безопасность ЗОКИИ;
• подтверждено (хотя довольно косвенно и неоднозначно), что организации-лицензиаты ФСТЭК России (лицензия ТЗКИ с видом работ по аттестации ОИ), не могут осуществлять аттестацию собственных ОИ, данные работы могут быть проверены только с привлечением сторонней организации-лицензиата ФСТЭК России;
• ЦОД не становится СКИИ при развёртывании на его мощностях ЗОКИИ.
• построение системы безопасности ЗОКИИ - обязанность владельца ЗОКИИ, для решения которой по его решению могут привлекаться организации-лицензиаты ФСТЭК России;
• разработка модели угроз - не лицензируемый вид деятельности, равно как и категорирование ОКИИ, поэтому для выполнения этих задач необязательно привлекать лицензиатов ФСТЭК России, но А. Кубарев рекомендует указанные задачи решать владельцам ОКИИ самостоятельно или с привлечением организации-лицензиатов ФСТЭК России (лицензия ТЗКИ с видом работ: создание систем защиты информации);
• базовый и базовый повышенный нарушитель из методики моделирования угроз соответствует базовому из БДУ;
• представление новой БДУ запланировано на начало следующего года;
• модели угроз для ЗОКИИ, не являющиеся ГИС, согласовывать с ФСТЭК России не требуется;
• водоканалы все ещё не являются СКИИ, если у них нет каких-то иных ИС/ИТС/АСУ из 13 сфер, предусмотренных 187-ФЗ;
• АСУ мини-котельной многоквартирного жилого дома - ОКИИ;
• некоторые муниципалитеты (на добровольных началах) и букмекерские конторы - СКИИ;
• отсутсвие ОКИИ подтверждается комиссией организации (соответствующим решением, оформленным документально в соотвествии с принятыми нормами делопроизводства);
• у СКИИ все ИС/ИТС/АСУ - ОКИИ независимо от функционирования в одной из 13 сфер, определённых 187-ФЗ (иными словами, если организация СКИИ, то целесообразно все принадлежащие ей ИС/ИТС/АСУ считать ОКИИ);
• ФСТЭК России не видит целесообразности в том, чтобы категорирование ОКИИ осуществлялось специально уполномоченным ФОИВ (никто лучше самого СКИИ не знает свои ОКИИ);
• несмотря на вступление с 01.09.2021 года поправок в КОАП, предусматривающих наказание за не создание систем безопасности ЗОКИИ, ФСТЭК России не планирует штрафовать СКИИ сразу (подход будет максимально лояльным, но учитывающим особенности СКИИ и конкретную ситуацию), избежать штрафа поможет, например, наличие плана (утверждённого) по созданию соответствующей системы безопасности ЗОКИИ;
• ФСТЭК России планирует издание методического документа по мерам защиты из 239-го приказа (по аналогии с мерами из 17-го приказа для ГИС);
• установление дополнительных требований по безопасности для незначимых ОКИИ не планируется (пока не планируется);
• у СКИИ обязательно должен быть штатный работник, ответственный за безопасность ЗОКИИ;
• подтверждено (хотя довольно косвенно и неоднозначно), что организации-лицензиаты ФСТЭК России (лицензия ТЗКИ с видом работ по аттестации ОИ), не могут осуществлять аттестацию собственных ОИ, данные работы могут быть проверены только с привлечением сторонней организации-лицензиата ФСТЭК России;
• ЦОД не становится СКИИ при развёртывании на его мощностях ЗОКИИ.
22
"у СКИИ все ИС/ИТС/АСУ - ОКИИ независимо от функционирования в одной из 13 сфер, определённых 187-ФЗ (иными словами, если организация СКИИ, то целесообразно все принадлежащие ей ИС/ИТС/АСУ считать ОКИИ);"
Да не гон какой то, четко сказано что системы которые функционируют в 13 отраслях.
Да не гон какой то, четко сказано что системы которые функционируют в 13 отраслях.
22
"ЦОД не становится СКИИ при развёртывании на его мощностях ЗОКИИ."
ЭЭЭ тогда вопрос кто будет выполнять защитные меры для информации которая обрабатывается в ЦОД? Интересно, если ЦОД принадлежит не субъекту но на его мощностях крутятся виртуалки которые обрабатывают информации с ЗОКИИ (к примеру виртуалки с тачек где развернуты ПО АСУ для корректировки проектов- суппорта )?
ЭЭЭ тогда вопрос кто будет выполнять защитные меры для информации которая обрабатывается в ЦОД? Интересно, если ЦОД принадлежит не субъекту но на его мощностях крутятся виртуалки которые обрабатывают информации с ЗОКИИ (к примеру виртуалки с тачек где развернуты ПО АСУ для корректировки проектов- суппорта )?
M
"отсутствие ОКИИ подтверждается комиссией организации"
Какой комиссией? Это для всех российских организаций требование?🤔
Какой комиссией? Это для всех российских организаций требование?🤔
22
ну протокол можно сделать как бы, что собрались те мол те и решили что ОКИИ нет, хотя это тоже все странно ( и не факт что это официальная позиция ФСТЭК )
M
Не. Если есть хоть одна система из 13 сфер, то ВСЕ системы организации ОКИИ
AL
Для всех СуКИИ
OB
Добрый день. Может знает кто получиться ли пробросить нестед влан пакеты во внутрь сенсора который хоститься на MS Hyper-v?
22
это уже лучше )
M
Если нет ОКИИ организация не субъект КИИ и не попадает под регулирование.
Фактически это требование для неСуКИИ
Фактически это требование для неСуКИИ
AL
Оператор ЦОД будет делать то, что ему поручил оператор ОКИИ (за деньги). Или оператор ОКИИ все будет делать сам
22
как оператор ОКИИ может делать безопасность не в своем ЦОД?
AL
Эээ, у вас любая 1С в бухгалтерии уже ОКИИ
22
В общем единой методики от ФСТЭК так и нет, каждый делает что хочет )
AL
Элементарно. Устанавливая свои средства защиты
22
так если она не работает в 13 сферах то причем тут ОКИИ?
AL
Если она не работает, то и вопроса нет в принципе
22
)) нет давайте разбираться. У меня есть 1С я ИП у меня нет ситем из 13 сфер причем тут мои ОКИИ (ИС, АСУ ИТС)?