В любом случае изначально отвечает владелец, а дальше уже идут варианты.

По-моему, хотя могу и ошибаться, Лютиков пояснил, что в случае коллизий ГИС, ПДн, КИИ надо выбирать наивысшую меру защиты. А значит, если для ГИС требуется сертифицированные СЗИ, то если Ваша ГИС есть ОКИИ, то выбор только один. Вроде, это и в самом теле 235 приказа прописано?

Это как в дисциплине ИТЗИ, если в железобетонном заборе будет хоть одна деревянная вставка, то весь забор будет классифицирован по этому уязвимому месту.

Опять же, смотря что он имел в вилу, и что вы имеете в виду :) Он говорил, что если классы защищенночти по двум нормативным документам разные, нужно брать более высокий. При
равных классах защищенности сейчас в документах явно прописано, что при коллизии ГИС приказови17 и 21 нужно использовать 17.

Ну опять же, Лютиков пояснил, что ФСТЭК в будущем сделает соотношение категорий ОКИИ, классов ГИС и уровней ПДн.

Там критерии совсем-совсем разные :) Система может быть КИИ категории 3, но ИСПД класса 1, и изменить это ФСТЭК не в силах

Осмелюсь предположить, что будет какой-то аналог, как в 17 приказе, где имеется подобное соотношение с ПДн, но посмотрим.

Однако, вернёмся к СЗИ.
Искомая норма 235 приказа состоит из трёх абзацев (п. 18), где в первом абзаце ограничивается круг используемых СЗИ: или сертифицированные, или  прошедшие оценку соответствия или приемку. Во втором и третьем абзацах оговариваются эти самые случаи или. Так второй абзац говорит, что сертифицированные СЗИ применяются или по решению субъекта, или если это предусмотрено законодательством. Законодательство о ГИС как раз и предусматривает использование сертифицированных СЗИ.

По поводу отвественности, мне кажется, что надо оценивать вину субъекта. Например, если рассматривать случай с НДВ, субъект принял решение об установке сертифицированных СЗИ, в комплекте с ними он получит документацию, которую он потом сможет использовать, например, в суде, чтобы доказать, что он сам (субъект) не знал и не мог знать о наличии НДВ, так как их отсутсвие подтверждалось этой самой документацией.

"Инцидент из-за НДВ в сертифицированном СЗИ" - это слишком умозрительный пример. Возьмем реальный случай..

Один наш заказчик во время пентеста проверял работу своих IDS. Оказалось, что IDS не отлавливает ARP Spoofing, то есть механизм защиты от перехвата трафика, на который рассчитывал заказчик, не работал. Косяк разработчика, сигнатуры были, но не срабатывали. Перехват трафика позволил восстановить некоторые пароли, ну и дальше появилась куча возможностей. Пентест закончился "взятием" контроллера домена.

Так вот, при добросовестном выполнении требований ФСТЭК проблема с одним механизмом защиты не является решающей для инцидента. Да, вы не смогли заметить перехват трафика, но какого фига сетевики админят коммутаторы через телнет и почему сыбытия "кто-то залогинился в нерабочее время" никак не обрабатываются?

Т.е. если инцидент происходит, то он всегда происходит из-за комплекса косяков. В таком случае владелец системы получит звездюлей за невыполнение целой пачки требований, а заявитель, получивший сертификат - в нагрузку, за уязвимость СЗИ или неполное соответствие СЗИ заданию по безопасности.

Да, и возвращаясь к вопросу, чуть не забыл. В паре к требованию использовать сертифицированные СЗИ всегда идет требование проводить аттестацию. А оно, в свою очередь, требует убедиться, что СЗИ действительно защищает от угроз. Поэтому на аргумент "ну так сертификат же" всегда может последовать контраргумент "вы обязаны были сами убедиться".

К требованиям к КИИ это относится в той же мере, только там вместо аттестации приемка.

Таковы были исходные условия вопроса, который не я задавал;)

А что если тот, кому внедряют не имеет возможности сам убедиться? Например, есть деньги, поэтому внедряют одни, аттестовывают другие (все как ФСТЭК требует), но сами убедиться не могут, так как спецов, допустим, нет, поэтому решили положиться на бумажки и тех, кто внедрял и аттестовывал?

Поставив свою подпись под актом приемки, руководитель организации принимает на себя всю дальнейшую ответственность. Его на эту должность никто силком не тянул. В бухгалтерии он тоже может ничего не понимать, но за финансовые махинации он сядет вместе с бухгалтером. Поэтому как он будет выбирать подрядчиков, которым можно доверять - это его трудности и его ответственность

Мне кажется, что не совсем так. Или тогда любой подписанный договор купли-продажи, приемки-передачи, после подписания сторонами полностью бы снимал ответственность с продавшей/передавшей стороны, так?
Мое мнение таково, что ситуация с инцидентом может быть тривиальной, а может быть и нет, и говорить однозначно, безапелляционно в этом случае неправильно. В каждом случае надо подходить с учётом имеющихся прецедентов и посте изучения и анализа всех обстоятельств. Собственно, в случае применения санкций наказываемая сторона всегда вправе оспорить это в суде, где все должно быть изучено.

Сергей, это уже или планы

Подключено

Объектов

Не субъектов

я бы воспринимал это как планы) но лучше спросить у НКЦКИ

Коллеги вопрос по категорированию: если у компании основная сфера деятельности по ОКВЭД строительство, а по ОКВЭД 2 добыча камня, гипса, сланца. Я правильно понимаю, что они по ОКВЭД 2 подпадают под сферу горнодобывающей промышленности?

ни одного НПА по 187-ФЗ регулятор по ГосСОПКА еще не утвердил