DD
Расследований иб событий в АСУ ТП должны быть в тех же гостах и рд, которыми вы и руководствуетесь.
Size: a a a
2019 December 18
DD
Мы вносили предложения по изменению постановление правительства о порядке проведения расследований аварий на объектах электроэнергетике.
22
Dmitry Darensky
Расследований иб событий в АСУ ТП должны быть в тех же гостах и рд, которыми вы и руководствуетесь.
Я боюсь нам до этого еще далеко. Т.к. сейчас все расследуется если это на что то повлияло, а если нет то и расследовать не зачем-примерно такова логика и практика на предприятии
IB
Dmitry Darensky
пока каждое подразделение будет дуть в свою дуду, а не совместо заниматься вопросами безопасности (о чем пишут зарубежные стандарты и чего не пишут наши), так и будет происходит. и пока будут эти бесполезные споры идти, сами объекты защищённее не станут, и будут продалжать быть лёгкими мишенями. Эксплуатация может и дальше себя тешить уникальностью своих систем, воздушными зазорами и другими мифами. Никто это им не запретит. но задач безопасности это точно не решит.
Согласен на все 100
22
Вот вам Шереметьево вид диспетчерской изнутри. Это КИИ?
22
И кто будет отвечать что там камера настроенно дыряво?Кого наказывать
22
На шодане детектируется
22
За находку спасибо Фене Зепамову.
F
2 2
Вот вам Шереметьево вид диспетчерской изнутри. Это КИИ?
Анон это ты?
22
E
2 2
Вот вам Шереметьево вид диспетчерской изнутри. Это КИИ?
Товарищ майор вам написал уже?
AS
Товарищ майор вам написал уже?
E
Спасибо, я посмотреть только.
DK
Sergey Pariev
Я говорю, про ситуацию, когда в проекте используется конкретное средство, не сертифицированное. Но которое по функционалу претендует на МЭ (плюс у вендора оно называется МЭ).
Мы поняли, о чем вы говорите.
"Если используется МЭ, он должен соответствовать требованиям ФСТЭК к МЭ. Почему? Потому что есть ПЗ" :) Тема "с какого перепуга коммерческая компания должна обращать внимание на какой-то ПЗ?" осталась нараскрытой.
В госах МЭ обязаны соответствовать требованиям ПЗ МЭ вовсе не потому, что ПЗ МЭ - методический документ. Есть простая цепочка из двух норм:
- гос должен использовать СЗИ, сертифицированные ФСТЭК (приказ ФСТЭК N17);
- если на данный вид СЗИ есть ПЗ, СЗИ может быть сертифицирована только на соответствие этому ПЗ (положение то сертификации).
Это - единственная причина, почему в госах (и только в госах) МЭ должны соответствовать требованиям ПЗ. Для всего остального мира норм, обязывающий принимать ПЗ во внимание, нет и не предвидится.
"Если используется МЭ, он должен соответствовать требованиям ФСТЭК к МЭ. Почему? Потому что есть ПЗ" :) Тема "с какого перепуга коммерческая компания должна обращать внимание на какой-то ПЗ?" осталась нараскрытой.
В госах МЭ обязаны соответствовать требованиям ПЗ МЭ вовсе не потому, что ПЗ МЭ - методический документ. Есть простая цепочка из двух норм:
- гос должен использовать СЗИ, сертифицированные ФСТЭК (приказ ФСТЭК N17);
- если на данный вид СЗИ есть ПЗ, СЗИ может быть сертифицирована только на соответствие этому ПЗ (положение то сертификации).
Это - единственная причина, почему в госах (и только в госах) МЭ должны соответствовать требованиям ПЗ. Для всего остального мира норм, обязывающий принимать ПЗ во внимание, нет и не предвидится.
NK
В 2020 году в военных округах России будут созданы специальные центры по борьбе с кибератаками, предназначенные для предотвращения несанкционированного доступа к сетям и защиты от вредоносного ПО. Под контролем данных центров окажутся открытые и защищенные военные линии связи и передачи данных, сообщили «Известия» со ссылкой на источники в Минобороны.
В военных округах России появятся центры киберзащиты
В военных округах России появятся центры киберзащиты
SP
Мы поняли, о чем вы говорите.
"Если используется МЭ, он должен соответствовать требованиям ФСТЭК к МЭ. Почему? Потому что есть ПЗ" :) Тема "с какого перепуга коммерческая компания должна обращать внимание на какой-то ПЗ?" осталась нараскрытой.
В госах МЭ обязаны соответствовать требованиям ПЗ МЭ вовсе не потому, что ПЗ МЭ - методический документ. Есть простая цепочка из двух норм:
- гос должен использовать СЗИ, сертифицированные ФСТЭК (приказ ФСТЭК N17);
- если на данный вид СЗИ есть ПЗ, СЗИ может быть сертифицирована только на соответствие этому ПЗ (положение то сертификации).
Это - единственная причина, почему в госах (и только в госах) МЭ должны соответствовать требованиям ПЗ. Для всего остального мира норм, обязывающий принимать ПЗ во внимание, нет и не предвидится.
"Если используется МЭ, он должен соответствовать требованиям ФСТЭК к МЭ. Почему? Потому что есть ПЗ" :) Тема "с какого перепуга коммерческая компания должна обращать внимание на какой-то ПЗ?" осталась нараскрытой.
В госах МЭ обязаны соответствовать требованиям ПЗ МЭ вовсе не потому, что ПЗ МЭ - методический документ. Есть простая цепочка из двух норм:
- гос должен использовать СЗИ, сертифицированные ФСТЭК (приказ ФСТЭК N17);
- если на данный вид СЗИ есть ПЗ, СЗИ может быть сертифицирована только на соответствие этому ПЗ (положение то сертификации).
Это - единственная причина, почему в госах (и только в госах) МЭ должны соответствовать требованиям ПЗ. Для всего остального мира норм, обязывающий принимать ПЗ во внимание, нет и не предвидится.
Все немного сложнее ) В 239 приказе есть очевидная отсылка к 184-фз о тех. регулировании. Собственно определения "оценки соответствия" и ее форм, в том числе "испытаний" и "приемки" находятся именно в 184-фз.
SP
В этом же 184-фз даются общие положения о том, как проводится оценка соответствия .. а в части ИБ есть отделная статья 5
SP
Которая заявляет об особенностях процесса для ИБ. Там указано, что эти особенности должны быть обозначены актами правительства либо уполномоченного органа (т.е. ФСТЭК России). Как мы знаем, документами закрыта толька одна из форм оценки соответствия - сертификация.
SP
В общем процессе как указано в 184-фз должен быть технический регламент, которого также нет, как известно.
SP
Приходим к интересной ситуации )