Защита КИИ - Форум по вопросам информационной безопасности
Защита КИИ - Форум по вопросам информационной безопасности
| Автор: Игорь, КрасКом | 91290 | 17.04.2018 12:25 |
|
Не понятно подадают ли под действие закона 187-ФЗ предприятия ЖКХ (водоснабжение, водоотведение)
|
|
| Автор: malotavr | 91293 | 17.04.2018 13:09 |
|
Понятно. Не подпадают :)
Законодатели забыли внести в перечень сфер жизнеобеспечение, сейчас это признают. Со временем исправят, но не в ближайшее время |
|
Прошло несколько месяцев
| Автор: Russo, RTR | 100089 | 16.08.2018 16:01 |
|
Господа, добрый день! Кто-нибудь сможет разъяснить какую роль в процессе регулирования и контроля играет комитет экономического развития и инвестиционной деятельности региональной администрации? Организация получила уведомление о необходимости соблюсти все требования ФСТЭК в части обеспечения безопасности КИИ (расписаны необходимые мероприятия со сроками), с просьбой направить в указанные сроки информацию о выполнении данных требований! Какое отношение указанный орган имеет к контролю выполнения требований 187-фз?
|
|
| Автор: oko | 100101 | 16.08.2018 17:42 |
|
to Russo
А не лучше ли этот вопрос задать представителям самого комитета? Или заглянуть в их "уставные" документы? Или ваш вопрос в том, что из оного комитета в некую организацию пришли требования и предписания? Тогда надо связываться опять-таки с комитетом и узнавать все из первых уст. Модуль экстрасенсорики подсказывает, что имеет место "нагиб" комитета по линии КИИ, а они уже "нагибают" свои подведомственные учреждения. В таком ракурсе, им стоит напомнить, что рыба *вырезано* гниет */вырезано* управляется головой, а не плавниками, ага... |
|
| Автор: GVBH | 100437 | 20.08.2018 11:21 |
|
2 Russo
Есть еще вариант... До выхода 187-фз какие-то инф. системы региона были занесены в реестр как КСИИ. Управление ФСТЭК по федеральному округу могло мягко спросить на счет выполнения требований НПА в отношении этих систем. |
|
| Автор: Гость | 100571 | 22.08.2018 16:41 |
|
Коллеги!
Возможно или нет детализировать качественные характеристики "степени возможного ущерба" для ГИС (Приложение №1 к Требованиям, утвержденным приказом ФСТЭК России от 11.02.2013 №17) количественными характеристиками "показателей критериев значимости" объектов КИИ (Перечень, утверждённый ППРФ от 8/02.2018 №127)? Если "Да", то получается, что на основании ошибочно определенной степени возможного ущерба, могли быть установлены завышенные требования по защите информации. Соответственно закуплено больше нужного средств защиты информации, введены новые должности и т.п., т.е. возник вполне реальный материальный ущерб, а причиной ущерба получается является необоснованные требования полномочного федерального органа исполнительной власти. |
|
| Автор: oko | 100576 | 22.08.2018 19:31 |
|
to Гость
Красиво-волшебно... Только, primo, "возможный ущерб" рассматривается от УБИ, реализуемых для ГИС. Никто в здравом уме не станет писать (и принимать, а потом доказывать в суде, ага) ОГВ или ФОИВ (тем более) в качестве источника УБИ... Secundo, показатель критерия значимости для конкретной ГИС/КИИ ФОИВ установил? Или вы на ФСТЭК намекаете? Так ФСТЭК по конкретным объектам ничего не устанавлиает - владельцы объектов сами должны, что в случае с ГИС, что для КИИ. И, если владелец перестраховался или ошибся и вложился "больше положенного", то понесенный "ущерб" от избытка - это всецело вина владельца ГИС/КИИ, а не кого-то другого... ЗЫ А так... понятия критериев значимости и степеней ущерба настолько размытые, что можно, в принципе, мешать одно с другим и в общий котел. Один черт, если надо, то те, кому следует, объяснят тем, кому положено то, что надобно переработать, когда и к чему применительно, ага... |
|
| Автор: Гость | 100577 | 22.08.2018 20:01 |
|
oko | 100576
>Красиво-волшебно... Красиво-волшебный развод: - ГИС; - АСУ ТП; - ГИС; - ИСПДн... А если оценить совокупный ущерб для государства, исходя из затрат заказчиков и владельцев? Или оценить прибыль аффелированных лиц и должностных лиц, лоббирующих принятие соответствующих правовых актов? "Это какие-то неправильные пчелы..." Может быть истоки коррупции-то не том, что кем-то кому-то передана "инкогнито" нн-ая сумма, а в неправильной разработке конкретных процессов лицами, не являющимися специалистами в предметной области? К примеру, специалисты ФСТЭК России, как правило, не ориентированы на защиту информации, доступ к которой ограничен федеральными законами (за исключением гостайны): Это и техническая защита сведений о технологиях, в отношении которых установлен экспортный контроль; это и РИДы, права на которые принадлежат РФ; это и сведения об изобретениях; это и информация, конфиденциальность которой должна обеспечиваться согласно договору и много ещё чего... |
|
| Автор: oko | 100586 | 22.08.2018 23:01 |
|
*в сторону* Тов. Нефедьев, разлогинтесь...
to Гость Идеи правильные. Но реализация любых правильных (как показывает историческая практика) идей у нас всегда через ж*. Зато "напильник" с течением времени используем умело, если замотивированы. Так что думайте над мотивацией, если хотите что-то изменить, а не над первопричинами. Оно, конечно, нихрена не по заветам мудрости "болезнь лучше предупреждать, чем лечить". Но, с другой стороны, ubi nil vales ibi nil velis, потому что альтернативный революционный путь весьма кровав и жесток, знаете ли... Если же вы не согласны с реализацией однозначно, то есть еще одна мудрость: в своем огороде и пугало царь (особенно для тупых ворон, ага). Так что исполняйте требования так, чтобы и де юре было красиво, и де факто не страдало... И да, если вы принципиально не понимаете, зачем вообще заниматься защитой ПДн, госИОД, техпроцессов производства и критических объектов - милости прошу в другие ветки форума. В Агасофию, например, а то там в последнее время скучно совсем... |
|
| Автор: Гость | 100590 | 23.08.2018 07:59 |
|
oko | 100586
*в сторону* Тов. Нефедьев, разлогинтесь... Благодарю за приятную для меня сравнительную оценку. Не скрою, что внимательно наблюдаю за обменом репликами между Нефедьевым С.Г. и оkо. WORM, MK | 83045 Все смешалось в доме Облонских..... Похоже, многие ГИС превратятся еще и в объекты КИИ. Плюс вступивший позавчера в силу Приказ №31-дсп (не путать просто с 31-м!). А он устанавливает обязательность аттестации ИС управления производством ОПК. А это, опять же КИИ. И по какому приказу (и закону) их защищать?? А если в КИИ-ГИС еще и персональные данные.... Уж чего-чего, а приказы регулятор писать умеет. Не то, что методички... WORM, Нефедьев, Атаманов, Гость... Это только те, кто высказался... Сколько предпочитающих не высказываться, неся крест "царя-пугала в своём огороде" "осталось за кадром". Теперь по существу. К примеру, Заказчику нужно определить требования по защите информации в АСУ по 17-му приказу. Заказчиком определено, что "степень возможного ущерба может быть: высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции". Как аудитору подтвердить, перепроверить правильность субъективной оценки Заказчика о "существенных негативных последствиях"? Каков масштаб последствий? Чья деятельность оценивается: государства, субъекта РФ, органа власти, организации? Для ответа на эти вопросы как раз и предлагается использовать количественные характеристики "показателей критериев значимости" объектов КИИ. С другой стороны "умиляю" красиво-волшебные показатели типа "более или равно 1, но менее или равно 50". А если не 50, а 51? А по каким методикам определить например цифровой показатель "причинения ущерба жизни и здоровью людей (человек)"? Красиво - на бумаге... |
|
Страницы: < 1 2 3 4 5 6 >
Просмотров темы: 22249
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"