Автор: Avstry, *** | 111354 | 26.02.2024 14:21 |
Добрый день. Имеются ИСПДн, по ним имеется пакет документов, эти же ИСПДн являются критическими объектами КИИ, подскажите, как правильно совмещать документы которые пересекаются в 2 разных законодательствах и несут в себе одинаковую информацию? Переписать действующие по ИСПДн с включением в описание приказов и ПП по КИИ или лучше выпустить отдельные приказы?
|
Автор: Практик | 111357 | 27.02.2024 13:21 |
Конкретно эти не имел дела. Но всегда старались делать два разных комплекта: когда проверяющий лезет "не в свой раздел", он, вместо того, чтобы просто поставить себе "имеется", начинает читать незнакомое. И писАть идиотские замечания, поскольку смежные разделы знает хуже.
|
Автор: Avstry, *** | 111358 | 27.02.2024 14:47 |
Я к примеру, ну не знаю, регламент работы пользователей с доступом в интернет, порядок организации парольной защиты, антивирусной, порядок резервного копирования, права доступа к ИСПДн в этой же ИСПДн она же объект кии, регламент доступа к испдн она же кии, и другие.
|
Автор: Сергей, АО | 111359 | 28.02.2024 08:39 |
Здравствуйте. Вопрос такой. В недавнем времени Минпромторг разродился и порадовал нас своим перечнем объектов КИИ для предприятий ОПК, согласованным с ФСТЭК. Ни каких пояснений к этому перечню нет. Туда походу вкарячили всё,что есть на свете,каким боком к этому подходить непонятно. Конкретно интересует ОПС,СКУД,система вентиляции,может кто уже разобрался в этом бреде?
|
Автор: oko | 111380 | 09.03.2024 10:54 |
to Сергей
Упустил как-то это сообщение... imho, отраслевые перечни - это при равных прочих не более чем призыв "рассмотреть", но не призыв "обязательно включить в свой перечень ОКИИ" (кто бы там что ни говорил, ага). Потому что по 127 ПП, определяющему весь порядок категорирования, такие отраслевые перечни включены в п. 10ж и являются не более чем "исходными данными", а не обязаловкой. Иными словами, та же СКУД в крайне малом числе случаев может являться ОКИИ и иметь хоть какую-то связь хотя бы с одним показателем значимости, чтобы ей вообще можно было присвоить или обосновать отказ от присвоения категории значимости... ЗЫ Упреждая, про бардак связей и казуистику формулировок в курсе, но факт остается фактом... |
Автор: Сергей | 111381 | 11.03.2024 06:13 |
Это понятно. Не понятно как мне это в протоколе "красиво" обосновать. Категорирование ОКИИ было проведено в декабре, Перечень ОКИИ сформирован в соответствии с ПП 127 и направлен в ФСТЭК, значимых ОКИИ нет, и тут в январе эта красота прилетает "масло масляное". Сейчас надо проводить заседание комиссии повторно, в этом перечне есть уже ОКИИ которые прошли категорирование, по остальным надо красиво отбиться,критических процессов в них нет. Как это обосновать,подскажите. Спасибо.
|
Автор: oko | 111382 | 11.03.2024 14:37 |
to Сергей
Точно так же, как и для иных своих ОИ - определяете крит.процессы (недопустимые события и т.п.), оцениваете влияние, оцениваете возможность комп.атак и их влияние, делаете выводы. Причем отдельные Протокол и Акт по факту изменений законодательства (ввода в действия нового отраслевого перечня) можно замутить еще на этапе решения, включать в Перечень или нет. Далее аналогично уже со сравнением с показателями критериев значимости, если в Перечень-таки что-то попало... |
Автор: Сергей | 111383 | 12.03.2024 08:52 |
Спасибо, ответ понятен. Вопрос еще и в том относить объект к КИИ или нет. Например взять ту же ОПС,вроде и АСУ, а вроде и нет, ведь АСУ это система:тех.средства,ПО, аппаратно программные средства + человек. В нашем случае это тоже система, только в ней просто блок управления и индикации,куча датчиков, всё, больше ничего, ну и человек сидит в качестве диспетчера. В перечень включили,пояснений нет, кроме как критический процесс - оповещение о пожаре и всё, да у нас под это можно все предприятие подвести,непонятно.
|
Автор: oko | 111384 | 12.03.2024 15:50 |
to Сергей
imho, все любители детализировать крит.процессы до точки бегут впереди паровоза. 127-ПП говорит скорее о "типах" крит.процессов, вот и нечего на себя брать лишние обязательства - нехай в выводах комиссии будут рассматриваться "управленческие", "технологические" и т.д., а не "процесс производства того-то из того-то". Степень же критичности в каждом конкретном случае все равно придется определять раздельно - таким образом, какая разница, как на бумаге декларирован процесс?... Что же касается АСУ, то ключевое - это "контроль" и (или) "управление". Если ваша ОПС самостоятельно ничем не управляет, а только сигнализирует, то "управление" отпадает. С "контролем" все спорно, но, imho, так можно дойти до маразма (в стиле "информация - это все, что нас окружает", ага). Поэтому комиссионно определитесь, кто же все-таки контролирует процесс выявления/устранения пожара - система или человек-диспетчер? Если ОПС более глобальна и ведет журналы, метки, проч. (в том числе для последующих расследований нештатных ситуаций), то она ближе к понятию ИС. Но опять-таки, все зависит от степени автоматизации. Видел случай отнесения связки микроконтроллер+flash-память, но это же не повод... Лучше определиться, в каких местах установлены "сенсоры" ОПС, что будет в случае их принудительного отключения + умышленного поджога, как быстро на это все среагирует персонал и иные лица, дублирующие автоматику (если они дублируют). И начать стоит как минимум с изучения текущих регламентов аварийной службы. Может статься, что как и в большинстве случаев вся реализованная автоматика чисто для галочки, а по факту и обнаружением, и тем более устранением заведует целиком и полностью "человеческий" ресурс, ага... ЗЫ Вот случай полностью автоматизированной ОПС + хранение взрывчатых веществ + вероятность диверсии от вполне себе актуального нарушителя == весьма любопытная ситуация с позиции анализа и последующего решения... |
Автор: Дарья | 111480 | 01.07.2024 14:14 |
здравствуйте! вопрос по соблюдению законодательства о КИИ и Указа Президента от 01.05.2022 №250. Указано, что субъектами КИИ являются организации, "которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в ...банковской сфере и иных сферах финансового рынка". Есть ли где-то разъяснения, что это могут быть за ИС, ИТС, АС?... Компания, которая не является ни банком , ни брокером, но работающая на фин рынке и использующая на основании лицензии стандартные CRM и 1C системы, будет подпадать под определение субъекта КИИ? соответственно, нужно ли исполнять указ президента 250? спасибо
|
Просмотров темы: 731