M
Если бы законодатель хотел ограничить компьютерные инциденты компьютерными атаками достаточно в понятие не писать "в том числе"
Size: a a a
2021 February 24
V
Ага, реагируем на КИ, а ликвидируем только последствия КА
S
Неоднократно сталкивался, и лично слышал, с тем, что спецы УФСТЭК в округах не всегда сами знают, что такое компьютерный инцидент)))
S
Изначально, сам Лютиков неоднократно громко заявлял, что рассматривать необходимо именно компьютерные атаки, а ущерб (вред), нанесенный субъекту КИИ в результате этой КА должен быть прямой. То есть, если объект предназначен для перечисления денег на какие либо счета (обеспечения выплат) и в результате КА произошло нарушение или прекращение его функционирования и случился прямой ущерб, тогда необходимо этот ущерб считать по пп рф127
DK
239 приказ - Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации (далее - значимые объекты, критическая информационная инфраструктура) при проведении в отношении них компьютерных атак. Нет никаких инцидентов и пожаров.
Есть в нем пожары :)
Субъекту КИИ там предписано смоделировать угрозы. А в методике моделирования угроз сказано, что " если к системам и сетям предъявлены требования к устойчивости и надежности функционирования (в части целостности и доступности информационных ресурсов и компонентов систем и сетей)", то для таких объектов могут быть актуальны угрозы со стороны физических явлений и материальных объектов.
Субъекту КИИ там предписано смоделировать угрозы. А в методике моделирования угроз сказано, что " если к системам и сетям предъявлены требования к устойчивости и надежности функционирования (в части целостности и доступности информационных ресурсов и компонентов систем и сетей)", то для таких объектов могут быть актуальны угрозы со стороны физических явлений и материальных объектов.
DK
Ага, реагируем на КИ, а ликвидируем только последствия КА
Вообще-то в нормативке "компьютерных атак и компьютерных инцидентов", не?
DK
Во всяком случае в ФЗ субъект обязан реагировать на компьютерные инциденты, а не на компьюьтерные атаки
V
Есть в нем пожары :)
Субъекту КИИ там предписано смоделировать угрозы. А в методике моделирования угроз сказано, что " если к системам и сетям предъявлены требования к устойчивости и надежности функционирования (в части целостности и доступности информационных ресурсов и компонентов систем и сетей)", то для таких объектов могут быть актуальны угрозы со стороны физических явлений и материальных объектов.
Субъекту КИИ там предписано смоделировать угрозы. А в методике моделирования угроз сказано, что " если к системам и сетям предъявлены требования к устойчивости и надежности функционирования (в части целостности и доступности информационных ресурсов и компонентов систем и сетей)", то для таких объектов могут быть актуальны угрозы со стороны физических явлений и материальных объектов.
Какое отношение имеет ФСТЭК к таким требованиям? Посмотри полномочия ФСТЭК. Что там написано - обеспечение в пределах своей компетенции безопасности значимых объектов критической информационной инфраструктуры. Или в самом 187-ФЗ федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации. А дальше посмотри определение "безопасность КИИ" в 187-ФЗ. - безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;
V
Вообще-то в нормативке "компьютерных атак и компьютерных инцидентов", не?
Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит значимый объект критической информационной инфраструктуры, в срок до 90 календарных дней со дня включения данного объекта в реестр значимых объектов критической информационной инфраструктуры Российской Федерации <1> разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
DK
Какое отношение имеет ФСТЭК к таким требованиям? Посмотри полномочия ФСТЭК. Что там написано - обеспечение в пределах своей компетенции безопасности значимых объектов критической информационной инфраструктуры. Или в самом 187-ФЗ федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации. А дальше посмотри определение "безопасность КИИ" в 187-ФЗ. - безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;
Прямое. Это методика, которой субъекты КИИ обязаны руководствоваться при моделировании угроз значимым объектам КИИ.
У тебя есть аксиома: "раз закон направлен на защиту от компьютерных атак, он не может требовать ничего, не связанного с компьютерными атаками". А раз так, ты считаешь, что ошибаются все - и сам закон, устанавливающий субъекту обязанность реагировать на инциденты, не связанные с атаками, и ФСТЭК, который в своем методическом документе говорит, что для ЗОКИИ могут быть актуальны и стихийные бедствия :)
А все гораздо проще: гораздо вероятнее, что неверна аксиома :)
Но так как аксиома - это вопрос внутреннего убежлдения, дальнейший спор закачиваю.
У тебя есть аксиома: "раз закон направлен на защиту от компьютерных атак, он не может требовать ничего, не связанного с компьютерными атаками". А раз так, ты считаешь, что ошибаются все - и сам закон, устанавливающий субъекту обязанность реагировать на инциденты, не связанные с атаками, и ФСТЭК, который в своем методическом документе говорит, что для ЗОКИИ могут быть актуальны и стихийные бедствия :)
А все гораздо проще: гораздо вероятнее, что неверна аксиома :)
Но так как аксиома - это вопрос внутреннего убежлдения, дальнейший спор закачиваю.
АБ
Заруба администраторов прекрасна.
Буду по середине :)
На мой взгляд. Реагирование на КИ и на нештатные ситуации это разные вещи. В одном случае есть типизация и понятный перечень действий, во втором случае ситуация не штатная/не известная. Соответственно и качество описания действий в документах будет разным.
Буду по середине :)
На мой взгляд. Реагирование на КИ и на нештатные ситуации это разные вещи. В одном случае есть типизация и понятный перечень действий, во втором случае ситуация не штатная/не известная. Соответственно и качество описания действий в документах будет разным.
V
Андрей Боровский
Заруба администраторов прекрасна.
Буду по середине :)
На мой взгляд. Реагирование на КИ и на нештатные ситуации это разные вещи. В одном случае есть типизация и понятный перечень действий, во втором случае ситуация не штатная/не известная. Соответственно и качество описания действий в документах будет разным.
Буду по середине :)
На мой взгляд. Реагирование на КИ и на нештатные ситуации это разные вещи. В одном случае есть типизация и понятный перечень действий, во втором случае ситуация не штатная/не известная. Соответственно и качество описания действий в документах будет разным.
Под эту расширенную позицию сейчас "протаскивают" импортозамещение КИИ. Так что она вовсе не безобидна для субъектов КИИ.
АБ
Под эту расширенную позицию сейчас "протаскивают" импортозамещение КИИ. Так что она вовсе не безобидна для субъектов КИИ.
Для субъектов кии писать по 10 неработающих регламентов реагирования на неведомую хрень тоже пользы не приносит.
Валерий, Вы в соседнем чате кинули пример такого регламента. Так в нем нештатная ситуация, это когда заразились вирусом или работник спер конфиденциальный документ. Получается спер в электронном виде это не атака и не 239, пишем регламент раз. Спер используя уязвимость, это компьютерная атака и 239 - регламент два, спер на бумаге - регламент три. А по сути и там и там нужен регламент служебного расследования по ТК РФ :)
Валерий, Вы в соседнем чате кинули пример такого регламента. Так в нем нештатная ситуация, это когда заразились вирусом или работник спер конфиденциальный документ. Получается спер в электронном виде это не атака и не 239, пишем регламент раз. Спер используя уязвимость, это компьютерная атака и 239 - регламент два, спер на бумаге - регламент три. А по сути и там и там нужен регламент служебного расследования по ТК РФ :)
V
В 239 приказе прямо указано, что реагирование на КИ осуществляется по приказам ФСБ.
АБ
В 239 приказе прямо указано, что реагирование на КИ осуществляется по приказам ФСБ.
Да, но при этом в примерах инструкций вирусное заражение=нештатная ситуация, а в документах ФСБ это КА и КИ :)
V
У нас очень много чудесного и прекрасного в НПА. Гармония радует глаз. Н авторы не видят оснований для корректировки, это мы все брюзжим от вредности. Не понимаем своего счастья
АБ
У нас очень много чудесного и прекрасного в НПА. Гармония радует глаз. Н авторы не видят оснований для корректировки, это мы все брюзжим от вредности. Не понимаем своего счастья
Его уже сейчас можно использовать для приведения ИБ организации в кондицию, а можно ждать изменений :)
V
Андрей Боровский
Его уже сейчас можно использовать для приведения ИБ организации в кондицию, а можно ждать изменений :)
Для этого закон не нужен.
АБ
Для этого закон не нужен.
Уровень зрелости у всех разный. Кому-то не нужен, кому-то нужен, третьим и наличие не поможет.
Возьмём для примера соседей за большой лужей. У них и законы и стандарты и рекомендации и засертифицированные в доску специалисты есть, а станция водоочистки обслуживается через общедоступный тимвьюер с плохим паролем.
Возьмём для примера соседей за большой лужей. У них и законы и стандарты и рекомендации и засертифицированные в доску специалисты есть, а станция водоочистки обслуживается через общедоступный тимвьюер с плохим паролем.
NA
Мое видение такое. Отталкиваться нужно от термина "нештатная ситуация" (НС).
Определитесь сначала что это для вас означает и зафиксируйте конкретное определение где-то в ОРД, иначе дискуссии будут идти не только здесь, но и при проверках регуляторов.
В каждом ЗОКИИ есть свой определяемый перечень негативных последствий (прописывается в модели угроз). Возьмите этот перечень в качестве исходного перечня опасностей и (или) опасных ситуаций общего характера. Исходя из специфика вашего ЗОКИИ многие из них могут попасть под термины, которые прописаны в разного рода отраслевых, национальных или международных стандартах, область применения которых относится к вашему ЗОКИИ.
Например, НС это может быть состояние системы эксплуатации ЗОКИИ, характеризующееся любым отклонением от заданной (штатной) схемы эксплуатации ЗОКИИ, его составных частей, вызванное ошибками и несанкционированными действиями обслуживающего персонала или злоумышленников, повреждениями и отказами техники, отклонениями параметров внешней среды от расчетных значений, потенциально способное привести к возникновению опасности.
Ситуация (опасность), которая есть развитием последствий компьютерной атаки (инициирующее событие) может привести как к чисто к компьютерном инциденту, так и к такому состоянию ОЗКИИ, которое может привести к нештатной, аварийной ситуации или аварии.
Разработчик ЗОКИИ в свой документации уже, скорее всего, позаботился о действиях персонала при аварийных, чрезвычайных ситуациях. Найдите что они написали по этому поводу. Какие у субъекта КИИ есть планы по реагированию при компьютерных инцидентах...
Определитесь сначала что это для вас означает и зафиксируйте конкретное определение где-то в ОРД, иначе дискуссии будут идти не только здесь, но и при проверках регуляторов.
В каждом ЗОКИИ есть свой определяемый перечень негативных последствий (прописывается в модели угроз). Возьмите этот перечень в качестве исходного перечня опасностей и (или) опасных ситуаций общего характера. Исходя из специфика вашего ЗОКИИ многие из них могут попасть под термины, которые прописаны в разного рода отраслевых, национальных или международных стандартах, область применения которых относится к вашему ЗОКИИ.
Например, НС это может быть состояние системы эксплуатации ЗОКИИ, характеризующееся любым отклонением от заданной (штатной) схемы эксплуатации ЗОКИИ, его составных частей, вызванное ошибками и несанкционированными действиями обслуживающего персонала или злоумышленников, повреждениями и отказами техники, отклонениями параметров внешней среды от расчетных значений, потенциально способное привести к возникновению опасности.
Ситуация (опасность), которая есть развитием последствий компьютерной атаки (инициирующее событие) может привести как к чисто к компьютерном инциденту, так и к такому состоянию ОЗКИИ, которое может привести к нештатной, аварийной ситуации или аварии.
Разработчик ЗОКИИ в свой документации уже, скорее всего, позаботился о действиях персонала при аварийных, чрезвычайных ситуациях. Найдите что они написали по этому поводу. Какие у субъекта КИИ есть планы по реагированию при компьютерных инцидентах...