А какой реакции от ФСТЭК вы ожидаете?

Есть проект указа Президента об обязательном перевоходе субъектов КИИ на "преимущественно российское", он рано или поздно будет принят. Соответственно, ничего, кроме "а почему вы при таких условиях до сих пор не перешли?" вы от ФСТЭК не услышите.

Тут попытка найти место , куда соломы положить.
Берём худший вариант, it встало, рейсы не отправляются,  страдают пассажиры, авиакомпании терпят убытки. Начинают разбираться, транспортная прокуратура, прочие ведомства, и тут вопрос, типа ситуация развивается пол года год, а что вы молчали. Да видем, искали выход, но почему не поставили в известность, того, того?

За импортозамещение ПО отвечает Минцифры. Уведомлять вы должны только отраслевых регуляторов и надзор, если уж так хочется.

Коллеги, здравствуйте! Я сейчас задам очень глупый вопрос, но нужно узнать ваше мнение о пункте из новой методики (встречается по ее тексту):

"нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют системы и сети, содержащие в том числе описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и ее правовой режим".

Конкретно интересует вопрос - что может понимать регулятор под НПА в случае такой формулировки?
Потому что, если идти по "букве" - выходит следующее: нужно откопать где-то законодательство, которое описывает необходимость создания объекта защиты, его состав, обрабатываемую информацию и ее правовой режим.

Проблема в том, кто таких НПА (напрямую регулирующих) не существует. Или я их не видела. Если вы видели - скажите и поделитесь примером, если не затруднит.

На практике видела "нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют системы и сети".

Но чтобы эти НПА были "содержащие в том числе описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и ее правовой режим" - не видела.

Могут ли в таком случае под НПА в рамках методики пониматься такие документы, как: техническое задание, технический проект, внутренние приказы организации?
Прошу, поделитесь мнением, КАК понимать указанную фразу. Она сбивает меня с толку...

Если вы гос или мун. структура то там много всего нужно указывать.....если Вы предприятие, то на мой взгляд ТЗ, ОКР, НИОКР и любые другие документы на базе которых ИС или АС зарождалась могут без проблем подойти. Я думал что данный пункт вообще должен волновать только гос структуры

Но от того, что вы кого-то уведомили, вы соломку-то не подстелили.

IMHO, единственное, что аэропорт может сделать - расписать план действий по импортозамещению и попытаться согласовать его с Минтрансом. Т. е. да, вы попали в ситуацию, при которой возможно нарушение работы аэропорта и ущерб КИИ, эта ситуация - следствие обстоятельств непреодолимой силы, вы предпринимаете вот такие действия по её преодолению, и Минтранс со своей стороны делает вот это, чтобы не пострадали перевозчики.

Да, сбои в работе возможны, причина - недобросовестность ваших поставщиков (и, строго говоря, ваша коммерческая проблема, за которую вы отвечаете сами), но это само по себе не нарушение закона с вашей стороны. А план импортозамещения будет именно подстиланиеи соломки.

Не существует - значит не существует. Если бы такие акты были - вы бы использовали их в качестве одного из источников исходных данных.

А как Майкрософт аргументирует это в юридической плоскости? Это учтено в пользовательском соглашении? У Майкрософт есть официальный представитель в России, Вы у него запросили официальный отказ от исполнения оплаченных услуг? Или у Вас есть только картинки из личного кабинета?

Аскуэр является ли кии ??)

Является, если принадлежит субъекту КИИ

Запрашивали, долго отвечает, краткая причина, нарушение пользовательского соглашения, и ни каких подробностей. Дополнительную информацию собирали по различным каналам

Я бы с юристами ещё пообщался на предмет подачи иска в суд.
В остальном согласен с коллегами выше. Уведомления в отраслевые регуляторы, актуализация плана импортозамещения и его согласование установленным порядком, создание отдельных планов «куда бежать и что делать» на случай если что то отвалится.

#events #privacy #rppa
Когда: 26 апреля в 18:30 (мск)
Где: YouTube
Тема: NEW. Методика оценки угроз безопасности информации. ФСТЭК: что, кому и как?
Организатор: RPPA
Язык: русский
Стоимость: бесплатно
Подключение: https://youtu.be/e02qqjxJwEc
🗓 Добавить в календарь: https://rppa.ru/meroprijatija/start
📢Спикеры:
▫️Алексей Лукацкий, бизнес-консультант по безопасности, Cisco
▫️Павел Новожилов, Lead Auditor  ISO/IEC 27001:2013, руководитель группы консалтинга, Инфосистемы Джет
▫️Роман Мартинсон, Старший консультант, АО КПМГ
💬Модератор:
▫️Елизавета Дмитриева, Старший консультант, Практика кибербезопасности PwC в России

Российские банки одобрили решение о том, что Центробанк РФ станет профильным регулятором при импортозамещении программного обеспечения и оборудования на отечественном рынке․ Об этом рассказали представители Ассоциации банков России․ https://zen.yandex.ru/media/cisoclub/centrobank-rf-stanet-reguliatorom-pri-importozamescenii-po-na-finansovom-rynke-60584f4f89855f0fde5b521d

Вот я понимаю подход.👍

Для промышленников осталось убедить минпромторг)

Ну я точно не потяну эту лямку😂😂😂😂😂

Надеюсь хоть в ЦБ РФ будут головой думать

коллеги, добрый день, не подскажете есть ли каналы, посвященные конкретно 239 приказу?

Добрый день, коллеги!

Столкнулся с методическим документом ФСТЭК "Меры защиты информации в ГИС" от 11.02.2014. Данный документ детализирует содержание организационных и технических мер защиты информации согласно требованиям Приказа ФСТЭК №17.

Не сталкивался ли кто-то с подобным документом для Приказов ФСТЭК по КИИ?