DD
регулятор на объекте кии проверяет полноту реализованных мер и правильность эксплуатации сзи.
Size: a a a
2019 December 18
DD
он не проверяет корректность реализации механизма.технологии защиты
DD
главное чтобы мера защиты была реализована и сзи эксплуатировалось без нарушений (потому что за это именно и карает регулятор - неправильная эксплуатация ставшая причиной инцидента)
AI
Чисто теоретически - на ранних этапах должно быть тз на систему защиты, вот по идее соответствие тз и проверяется, плюс особый упор на некоторые функциональные моменты по желанию и чтобы система работала без проблем.
AS
Чисто теоретически - на ранних этапах должно быть тз на систему защиты, вот по идее соответствие тз и проверяется, плюс особый упор на некоторые функциональные моменты по желанию и чтобы система работала без проблем.
ТЗ ➡️ ПиМИ
DD
именно. и приёмка в эксплуатацию была выполнена в соответствии с требования по приёмке (ТЗ, проект, ПМИ, акт категорирования, порядокэксплуатации, назначены ответственные)
DD
и никого не .....т каким образом реализована технология в железе или софте, если она выполняет свои функции при правильной эесплуатации.
DD
и если происходит инцидент (даеже если было скомпромитировано данное СЗИ) , то при подтверждении правильности приёмки и эксплуатации данного СЗИ притензии к субъекту КИИ от регулятора не возникают.
DD
другой вопрос что пока "палочную" систему работы регуляторов пока никто тоже не отменял. но кейсы ведь есть, когда по результатам инцидента в в ГИС наказали не владелца системы (муниципалитет), а непосредственно "хакера".
AC
Dmitry Darensky
и если происходит инцидент (даеже если было скомпромитировано данное СЗИ) , то при подтверждении правильности приёмки и эксплуатации данного СЗИ притензии к субъекту КИИ от регулятора не возникают.
Для КИИ надо чтобы позникали притензии к разработчику/интегратору :)
DD
могут и к субъекту кии, если вяснится что он по факту не настроил СЗИ или не обновлял его согласно регламенту эксплуатации.
AC
Dmitry Darensky
могут и к субъекту кии, если вяснится что он по факту не настроил СЗИ или не обновлял его согласно регламенту эксплуатации.
Для КИИ самая хреновая ситауция получается если СЗИ заблокировало ТП. Сейчас в этой ситуации виноват не разработчик/интегратор, а эксплуатация. И речь будет не о выговоре/увольнении, а вопросам со стороны прокуратуры.
DD
верно - потому что это нарушение регламента эксплуатации.
DD
с кого же спрашивать, как не с владельца СЗИ?
DD
наличие вопросов еще не означает наличие уголовного дела, верно?
v
Для КИИ самая хреновая ситауция получается если СЗИ заблокировало ТП. Сейчас в этой ситуации виноват не разработчик/интегратор, а эксплуатация. И речь будет не о выговоре/увольнении, а вопросам со стороны прокуратуры.
а есть примеры???
DD
да полно... одни хреново настроенные антивирусы сколько проблем эксплуатации уже доставили....а сколько ещё доставят....
AI
Но позвольте, авз в мерах 239 приказа и надо попотеть чтобы исключить
AC
Dmitry Darensky
с кого же спрашивать, как не с владельца СЗИ?
Когда каспер, например, блокировал сетевые драйвера или "эвристика" что-то там насчитала, то виноват в этом каспер, а не эксплуатация. Вы вещаете со тороны офисной безответственности, а в АСУ ТП и в энергетике всё не так. Как пример, за Чагино получили по голове все - эксплуатация, проектировщики и интегратор.
AC
Я, как проектировщик, хоть уже и не работаю в проектном институте, но, по букве закона несу ответственность вплоть до 2022 года. Пончтно, что мое привлечение - невроятная история, но но закону вот так.