Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита КИИ - Форум по вопросам информационной безопасности

Защита КИИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 >

Автор: Игорь, КрасКом | 91290 17.04.2018 12:25
Не понятно подадают ли под действие закона 187-ФЗ предприятия ЖКХ (водоснабжение, водоотведение)

Автор: malotavr | 91293 17.04.2018 13:09
Понятно. Не подпадают :)
Законодатели забыли внести в перечень сфер жизнеобеспечение, сейчас это признают. Со временем исправят, но не в ближайшее время
Прошло несколько месяцев

Автор: Russo, RTR | 100089 16.08.2018 16:01
Господа, добрый день! Кто-нибудь сможет разъяснить какую роль в процессе регулирования и контроля играет комитет экономического развития и инвестиционной деятельности региональной администрации? Организация получила уведомление о необходимости соблюсти все требования ФСТЭК в части обеспечения безопасности КИИ (расписаны необходимые мероприятия со сроками), с просьбой направить в указанные сроки информацию о выполнении данных требований! Какое отношение указанный орган имеет к контролю выполнения требований 187-фз?

Автор: oko | 100101 16.08.2018 17:42
to Russo
А не лучше ли этот вопрос задать представителям самого комитета? Или заглянуть в их "уставные" документы?
Или ваш вопрос в том, что из оного комитета в некую организацию пришли требования и предписания? Тогда надо связываться опять-таки с комитетом и узнавать все из первых уст. Модуль экстрасенсорики подсказывает, что имеет место "нагиб" комитета по линии КИИ, а они уже "нагибают" свои подведомственные учреждения. В таком ракурсе, им стоит напомнить, что рыба *вырезано* гниет */вырезано* управляется головой, а не плавниками, ага...

Автор: GVBH | 100437 20.08.2018 11:21
2 Russo

Есть еще вариант...
До выхода 187-фз какие-то инф. системы региона были занесены в реестр как КСИИ. Управление ФСТЭК по федеральному округу могло мягко спросить на счет выполнения требований НПА в отношении этих систем.

Автор: Гость | 100571 22.08.2018 16:41
Коллеги!
Возможно или нет детализировать качественные характеристики "степени возможного ущерба" для ГИС (Приложение №1 к Требованиям, утвержденным приказом ФСТЭК России от 11.02.2013 №17) количественными характеристиками "показателей критериев значимости" объектов КИИ (Перечень, утверждённый ППРФ от 8/02.2018 №127)?

Если "Да", то получается, что на основании ошибочно определенной степени возможного ущерба, могли быть установлены завышенные требования по защите информации. Соответственно закуплено больше нужного средств защиты информации, введены новые должности и т.п., т.е. возник вполне реальный материальный ущерб, а причиной ущерба получается является необоснованные требования полномочного федерального органа исполнительной власти.

Автор: oko | 100576 22.08.2018 19:31
to Гость
Красиво-волшебно...
Только, primo, "возможный ущерб" рассматривается от УБИ, реализуемых для ГИС. Никто в здравом уме не станет писать (и принимать, а потом доказывать в суде, ага) ОГВ или ФОИВ (тем более) в качестве источника УБИ...
Secundo, показатель критерия значимости для конкретной ГИС/КИИ ФОИВ установил? Или вы на ФСТЭК намекаете? Так ФСТЭК по конкретным объектам ничего не устанавлиает - владельцы объектов сами должны, что в случае с ГИС, что для КИИ. И, если владелец перестраховался или ошибся и вложился "больше положенного", то понесенный "ущерб" от избытка - это всецело вина владельца ГИС/КИИ, а не кого-то другого...

ЗЫ А так... понятия критериев значимости и степеней ущерба настолько размытые, что можно, в принципе, мешать одно с другим и в общий котел. Один черт, если надо, то те, кому следует, объяснят тем, кому положено то, что надобно переработать, когда и к чему применительно, ага...

Автор: Гость | 100577 22.08.2018 20:01
oko | 100576
>Красиво-волшебно...

Красиво-волшебный развод:
- ГИС;
- АСУ ТП;
- ГИС;
- ИСПДн...

А если оценить совокупный ущерб для государства, исходя из затрат заказчиков и владельцев?
Или оценить прибыль аффелированных лиц и должностных лиц, лоббирующих принятие соответствующих правовых актов?

"Это какие-то неправильные пчелы..."
Может быть истоки коррупции-то не том, что кем-то кому-то передана "инкогнито" нн-ая сумма, а в неправильной разработке конкретных процессов лицами, не являющимися специалистами в предметной области?
К примеру, специалисты ФСТЭК России, как правило, не ориентированы на защиту информации, доступ к которой ограничен федеральными законами (за исключением гостайны):
Это и техническая защита сведений о технологиях, в отношении которых установлен экспортный контроль; это и РИДы, права на которые принадлежат РФ; это и сведения об изобретениях; это и информация, конфиденциальность которой должна обеспечиваться согласно договору и много ещё чего...

Автор: oko | 100586 22.08.2018 23:01
*в сторону* Тов. Нефедьев, разлогинтесь...

to Гость
Идеи правильные. Но реализация любых правильных (как показывает историческая практика) идей у нас всегда через ж*. Зато "напильник" с течением времени используем умело, если замотивированы. Так что думайте над мотивацией, если хотите что-то изменить, а не над первопричинами. Оно, конечно, нихрена не по заветам мудрости "болезнь лучше предупреждать, чем лечить". Но, с другой стороны, ubi nil vales ibi nil velis, потому что альтернативный революционный путь весьма кровав и жесток, знаете ли...
Если же вы не согласны с реализацией однозначно, то есть еще одна мудрость: в своем огороде и пугало царь (особенно для тупых ворон, ага). Так что исполняйте требования так, чтобы и де юре было красиво, и де факто не страдало...
И да, если вы принципиально не понимаете, зачем вообще заниматься защитой ПДн, госИОД, техпроцессов производства и критических объектов - милости прошу в другие ветки форума. В Агасофию, например, а то там в последнее время скучно совсем...

Автор: Гость | 100590 23.08.2018 07:59
oko | 100586
*в сторону* Тов. Нефедьев, разлогинтесь...

Благодарю за приятную для меня сравнительную оценку.
Не скрою, что внимательно наблюдаю за обменом репликами между Нефедьевым С.Г. и оkо.

WORM, MK | 83045
Все смешалось в доме Облонских.....
Похоже, многие ГИС превратятся еще и в объекты КИИ.
Плюс вступивший позавчера в силу Приказ №31-дсп (не путать просто с 31-м!). А он устанавливает обязательность аттестации ИС управления производством ОПК. А это, опять же КИИ. И по какому приказу (и закону) их защищать??
А если в КИИ-ГИС еще и персональные данные....

Уж чего-чего, а приказы регулятор писать умеет. Не то, что методички...

WORM, Нефедьев, Атаманов, Гость...
Это только те, кто высказался...
Сколько предпочитающих не высказываться, неся крест "царя-пугала в своём огороде" "осталось за кадром".

Теперь по существу.
К примеру, Заказчику нужно определить требования по защите информации в АСУ по 17-му приказу.
Заказчиком определено, что "степень возможного ущерба может быть:
высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции".

Как аудитору подтвердить, перепроверить правильность субъективной оценки Заказчика о "существенных негативных последствиях"? Каков масштаб последствий? Чья деятельность оценивается: государства, субъекта РФ, органа власти, организации?
Для ответа на эти вопросы как раз и предлагается использовать количественные характеристики "показателей критериев значимости" объектов КИИ.

С другой стороны "умиляю" красиво-волшебные показатели типа "более или равно 1, но менее или равно 50". А если не 50, а 51? А по каким методикам определить например цифровой показатель "причинения ущерба жизни и здоровью людей (человек)"?

Красиво - на бумаге...



Страницы: < 1 2 3 4 5 6 >

Просмотров темы: 17673

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*