Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита КИИ - Форум по вопросам информационной безопасности

Защита КИИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 >

Автор: oko | 84262 30.12.2017 01:02
to Dfg
Не все так плохо... Зато есть вот это:
1. "Если принятые в значимом объекте меры по обеспечению ... безопасности ... достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры ... могут не применяться" Конечно, надо обосновать. Зато теперь будет контраргумент на "Вот этот пункт обязателен, а вы его не реализовали - не порядок!"...
2. п. 29, если его оставят в текущей форме, вообще странный. Чувствуется рука автора новых Требований ГТ, ага (п. 1 - ВСЕГДА НЕЛЬЗЯ! п. 2 - Если ооочень надо, то можно... п. 3 В принципе, не возбраняется...) Но опять-таки, место для маневра есть. + не написано черным по русскому, в какой системе сертификации (МО, ФСТЭК, ФСБ и т.д.). Так что живем, как говорится...
3. Ой как порадовал запрет удаленного доступа НЕсотрудников к средствам управления ИС (АС, КИИ, как хотите). Наконец отпадет идиотия типа "А у нас СПО **** админит такая-то контора через TeamViewer, поэтому нам надо!"
4. ТКУИ. С одной стороны, хорошо, что нет обязаловки. С другой стороны... хорошо, что хотя бы явно это указали...
5. ДМЗ!
6. Обучение персонала! Ну наконец фраза "квалификация персонала в целом соответствует..." перестанет быть пустым звуком (надеюсь, ага)...

ЗЫ На днях перечитаю, многое наверняка не увидел. Но положительное впечатление, imho...

Автор: Dfg | 84268 30.12.2017 08:57
Им надо было добавить слово " --в случае-- использования серт. Сзи, применять что-то" как в 31 приказе. ( который будет заменен на этот якобы).

Иначе будет отличный повод для перегибов на местах, "ах у вас регламентирован доступ к оборудованию через встроенную аутентификацию, а вот пунктик говорит что класс такой то должен быть, покажи бумажку. А что по ндв. А ну как производитель внедрил метод обхода какой."

В одной части документа заложена гибкость, а в другой тут-же дают по рукам жесткими формулировками.

2. По мерам вопросов нет. Очень хорошо и понятно прописанны. Лучше чем в 21 и 17 приказах. Сам документ тоже достаточно ясный. Без мозголомных вывертов и растеканий по древу ( как в 358 приказе например )
Прошла пара месяцев

Автор: Dfg | 90245 24.03.2018 08:58
Слушал тут выступления ФСТЭК на одной из конференций.
Нас ждут великие дела. КИИ теперь в тренде и во главе угла.

1.ФСТЭК утвердил все проекты уже в виде приказов.

Приказ ФСТЭК России от 21 декабря 2017 г. No 235 «Об утверждении Требований к
созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»

Приказ ФСТЭК России от 25 декабря 2017 г. No 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

2. Всем субьектам КИИ (включая комерсов) нужно прокатегорировать свои ИС и направить во ФСТЭК. Включая объекты которые не значимые по вашему мнению. (Т.к по последним ФСТЭК может не согласиться)

Форма отправки есть
ФСТЭК России ПРИКАЗ от 22 декабря 2017 г. No 236 Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

3. Ко всем ИС помимо требований 17,21,31 приказов, нужно будет применять приказ 239. Это будет основной боевой приказ ИБ-шников на ближайшие годы. ФСТЭК выпустит разъяснения по порядку и приоритетам применения приказов.

4. Теперь ФСТЭК будет проводить проверки субъектов КИИ. Если раньше комерсы ИСПДН-щики соскакивали с требований ФСТЭК, мол все равно у них нет полномочий проверять. То теперь если ИСПД при этом КИИ, к вам придут. Причем внезапно)

Порядок проверки тут
http://rulaws.ru/goverment/Postanovlenie-Pravitelstva-RF-ot-17.02.2018-N-162/

Автор: Тихий | 90449 28.03.2018 14:59
Всем заинтересованным безопасностью КИИ: опубликован приказ ФСТЭК от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов КИИ"
http://publication.pravo.gov.ru/Document/View/0001201803270041

Автор: Dfg | 90457 29.03.2018 07:21
Хорошо, что вернули гибкость в выборе СЗИ.

Хорошие обзоры документов у Лукацкого, в том числе скрины презентации Е.С.Торбенко.

http://lukatsky.blogspot.ru/2018/02/blog-post_20.html?m=1
http://lukatsky.blogspot.ru/2018/02/blog-post_9.html?m=1

Автор: Константин | 90459 29.03.2018 10:15
А вот информационную систему в сфере закупок можно отнести к объекту КИИ?!

из определения субъекта КИИ не понятно..

Иные сферы финансового рынка можно подтянуть до системы госзакупок?

Автор: malotavr | 90476 29.03.2018 23:04
"Сферы финансового рынка" - это все, что относится к ведению ЦБ: банки, кредитные организации, микрокредитные организации, платежные системы, биржи, страховые компании, коллекторские агентства. Все, список исчерпывающий. Госзакупки - это фера государственного управления, она к финансовым рынкам никакого отношения не имеет.

Автор: malotavr | 90477 29.03.2018 23:17
> 4. Теперь ФСТЭК будет проводить проверки субъектов КИИ. Если раньше комерсы ИСПДН-щики соскакивали с требований ФСТЭК, мол все равно у них нет полномочий проверять. То теперь если ИСПД при этом КИИ, к вам придут. Причем внезапно)

Этот тезис вы поняли неверно. Согласно ФЗ предметом регулирования ФСТЭК являются только значимые объекты КИИ, а одним из необходимых условий для плановой проверки является факт внесения сведений об информационной системе в реестр значимых объектов КИИ. Придут только к тем, кто а) проведет категорирование и б) по результатам категорирования присвоит хотя бы одной ИС категорию значимости. Причем предметом проверки будут только значимые объекты. Я вас уверяю, 99% коммерсов тупо не собираются проводить категорирование (наказания за это пока нет), а оставшийся 1% дружно решит, что к их ИС ни один из критериев категорирования не подходит.

Со вторым еще можно бороться на стадии согласования результатов категорирования. С "молчунами" ФСТЭК теоретически тоже может бороться (у службы есть право потребовать провести категорирование, но по факту для этого нужно, чтобы или в уставе организации был прописан определенный код ОКВЭД, или была лицензия, соответствующая одной из упомянутых в ФЗ сфер. Вот только будут ли у ФСТЭК ресурсы для работы с "молчунами" - большой вопрос. Лютиков на эту тему высказывается очень осторожно.

Автор: Кирк | 90640 02.04.2018 13:32
Насколько я помню при организации государственного контроля (надзора) в соответствие с федеральным законом от 26.12.2008 N 294-ФЗ должен применяться риск-ориентированный подход. Этот подход позволяет регулятору предварительно оценить позиции значимых "молчунов" и при необходимости проверить все что требуется.

Автор: Константин | 90641 02.04.2018 13:34
2 malotavr
Спасибо!

Страницы: < 1 2 3 4 5 6 >

Просмотров темы: 17671

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*