Это очень сложный вопрос, который я уверен будет решен в ближайшие годы... или не будет

звучит обнадеживающе :)

Я вот смотрю на "3. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации:
....
4) устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (требования по обеспечению безопасности информационно-телекоммуникационных сетей, которым присвоена одна из категорий значимости и которые включены в реестр значимых объектов критической информационной инфраструктуры, устанавливаются по согласованию с федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи)..."

Кто это кстати? Кто рулит КИИ

ФСТЭК

Добрый вечер. Пишу дипломную работу по оценке защищенности объектов КИИ на основе базы Mitre Att&ck.
Описал объект КИИ - АСУ томографом; потенциал нарушителей. Как составить цепочку атак по Mitre? Поделитесь пожалуйста примером

Давайте попробуем поработать с проектом Указа Президента по импортозамещению программного обеспечения и оборудования объектов КИИ:
https://regulation.gov.ru/p/102172

➡️ Проект размещен с нарушениями процедуры размещения
➡️ Проект нарушает федеральное законодательство о КИИ

‼️ Учтите, что Минцифра не ФСТЭК. Минцифра крайне не любит двустороннее общение во время публичного обсуждения проектов актов. Минцифра в большинстве случаев пытается отстаивать тот документ, который они разместили, допуская только минимальные правки. Минцифра не отвечает за КИИ, но отвечает за импортозамещение программ и оборудования. Минцифра будет отстаивать именно свой интерес в этом проекте.

☝️ Я не могу всесторонне оценить содержимое НПА. Я стараюсь сторониться «Вселенной КИИ». Мой вопрос в открытости, прозрачности, обратной связи и ответственности

🗡 Я подготовил шаблон с жалобой в Минэк на нарушение процедуры размещения:
Для юрлиц: https://usher2.club/docs/fish/102172l.rtf
Для физлиц: https://usher2.club/docs/fish/102172p.rtf

👉 На портале проектов нормативки https://regulation.gov.ru у каждого проекта нормативки есть кнопка «Народный контроль» куда можно пожаловаться на процедуру размещения. Можно отправить на email: mineconom@economy.gov.ru (они регистрируют такие обращения наравне с бумажными)

👉 Попробуйте самостоятельно сформулировать несоответствие проекта Указа статье 6  закона "О безопасности критической информационной инфраструктуры Российской Федерации" от 26 июля 2017 года № 187-ФЗ. Покажите это юристу. Отправьте в раздел «Ваши предложения» проекта Указа на портале.

✅ Прочитал? Поставь 👎 каждому проекту. Или лайк — как пойдет
✅ Пьёшь чай? Заполни шаблон и отправь
✅ Сел смотреть сериал? Заполни шаблон и отправь
✅ Посмотрел сериал? Заполни шаблон и отправь
✅ Отзыв сам себя не напишет
⚔️ Fight the Good Fight

ВАЖНО

☝️ Проверяйте меня. Я не идеален, возможно вы найдете неточности
☝️ Старайтесь быть проще, если есть время больше, чем шлепнуть печать — переформулируйте меня, мои формулировки не идеальны. Да и должно же быть всё красиво, а не просто шаблонные письма

Добрый день, кто нибудь встречал право правоприменительную практику когда за нарушение требований 187-фз  выписывались штрафы на юрлицо (не физлицо) или создавалась ситуация когда прокуратура выписала предписание на запрет частичный или полный деятельности компании?

Не предусмотрены штрафы за нарушение 187-фз в законодательстве.

Я так понимаю, в основном соответствие КИИ используется для получения контрактов, где это соответствие стоит условием. Это нормально

Это как вообще?
Соответствие пожарным требованиям для предприятий тоже можно тогда в контракт вносить? Или выполнение банками требований ЦБ?
Это нормативные требования и они должны соблюдаться, причем тут контракты? И что значит соответствие КИИ вообще?

Я не разработчик КИИ и даже не эксперт КИИ. Это немного чужая для меня тема. Влез только потому, что регуляторика это моя тема. Я не знаю почему так получилось. Возможно это как с ограничением 60км/ч в городе. Для всех норма почему-то начинается с 80км/ч, поскольку только с этой цифры начинается КоАП

Всем привет! Где то указано, что при обеспечении защиты ЗОКИИ необходимо круглосуточное дежурство?Заранее спасибо.

Дежурство кого? А так, приказ 282 фсб, срок информирования нкцки - 3 часа

Пока не знаю как назвать "этих" сотрудников, наверное ответственные за мониторинг и реагирование на инциденты информационной безопасности. Благодарю, Валерий!

Так это срок информирования после выявления. А сроков выявления там нет

А выявлять их будет подсистема безопасности ЗОКИИ, созданная по 239 приказу фстэк

Добрый день,  кто как решал вопрос о удаленном мониторинге от Сименс?

но ведь не все процессы полностью автоматизированы - в конце-концов они завязаны на силы обеспечения безопасности, входящие в эту систему безопасности ЗОКИИ. И именно силы ответственны за реагирование на инциденты ИБ, а также за информирование НКЦКИ. А вот к их графику и к требованиям по срокам выявления требований нет - это решает сам субъект, то есть еще одна неоднозначность в текущих НПА

А для всех категорий надо иметь прямое подключение к госсопка (техническая возможность). Вы в своем блоге писпли что для и 2 категорий требуется. Для 3 достаточно просто по почте.

я писал, что вообще не требуется. По желанию субъекта это подключение. нет обязательного требования. Норматив по времени для всех ЗОКИИ одинаковый - 3 часа