Защита КИИ - Форум по вопросам информационной безопасности
Защита КИИ - Форум по вопросам информационной безопасности
| Автор: oko | 102180 | 20.09.2018 23:56 |
|
to Dfg
КЦ полезен для отслеживания изменений. Штатными или нештатными они были, несут ли вред или не несут - это вопрос другой степи. Комплексность же... Хотя да, мы с вами говорим о разных системах принципиально. В целом, ФСТЭК тоже считает, что "защищенность = неизменности" (иначе не было бы такой возни с аттестацией и пунктами "льзя/нельзя", ага). Как это все приспособить в реальной жизни к "потоковым" ИС - тоже другой вопрос. Но компромисс возможен всегда - нужно лишь правильно расставить приоритеты. Например, условное "ядро" ИС меняется/обновляется редко, а "обвязка"... с ней правильнее всего взвесить риски и возможные УБИ (потенциальные атаки) и на основании этого уже решать, куда там прикручивать КЦ, а куда не нужно. И влияют ли УБИ "обвязки" на "ядро". И каковы последствия от нарушения К/Ц/Д для "обвязки", а каковы для "ядра". И т.д., и т.п., все по классике, ага... Благо (и одновременно грех, но об этом не будем), требования и формулировки того же 239 Приказа (равно как и остальных КОНФИ-приказов) далеко не однозначные + многое решается в ЧМУ. Т.е. компромиссный люфт возможен при должном обосновании... |
|
Прошла пара месяцев
| Автор: Игорь | 105190 | 07.12.2018 12:01 |
|
Подниму тему.
Нужен совет знающих и уже имеющих опыт по составлению перечня объектов КИИ в поликлинике. Ситуация така. Мы- учреждение здравоохранения, стоматология. Соответственно деятельность - стоматологическая практика. Из всех процессов определили, что критическими будут только оказание медицинских услуг. Решаем выделить две системы в объекты КИИ. Это ИС для взаимодейсвия с ЕМИАС и автономный АРМ для обработки рентгеновских снимков. Вопрос такой: правильно ли мы будем относить к объектам КИИ ИС для взаимодействия с ЕМИАС, т.к.это всего 10 АРМ, БД своей нет, все хранится в Минздраве, доступ осуществляется через веб-интерфейс. Все что делаем, это заносим сведения об оказанной медицинской помощи в электронную МК и ведем кадровый учет. Эта система у нас аттестованная и имеет подключение только к ЕМИАС через сеть Правительства Московской области, ни в ЛВС, ни в интернет доступа нет. Может есть такие кто сталкивался с такой же проблемой? |
|
| Автор: oko | 105199 | 07.12.2018 16:04 |
|
to Игорь
В вашем случае к КИИ вообще ничего бы не относил. Особенно, если вы - частная контора, пусть и под Минздравом, ага... КИИ касаются ОИ в масштабах РФ (нанесение ущерба) + от компьютерных атак. Все остальное от лукавого. Сиречь, если ЕМИАС, primo, не ваша (т.е. это уже головная боль владельца ИС, а уж явно не филиала/абон.пункта) и, secundo, не имеет подключения к внешним ИТКС, включая Интернет (хотя тут бабушка надвое сказала - знаем мы эти правительственные сети "для смертных", ага), то и к КИИ она отношения не имеет... Автономный АРМ рентгена тем паче... |
|
| Автор: malotavr | 105200 | 07.12.2018 16:24 |
|
Вашей коллеге в КИИшном чатике уже отвечают :)
Судя по описанному, у вас нет процессов, критических в смысле ПП127. Поэтому можете не считать свою систему объектом КИИ или считать его незначимым объектом КИИ. Результат одинаковый (от вас ничего не требуется), но во втором случае бумаг больше. |
|
| Автор: Гость | 105208 | 07.12.2018 20:31 |
|
"Гость | 100625
oko | 100614 >Если у вас все-таки имеется ОИ, в котором ИСПДн, ГИС, АСУ ТП и КИИ перемешаны в одну кучу, то поздравляю - ……… Тогда вам к "другому регулятору» А давайте пошлем к «другому регулятору» мастеров нормотворческого жанра, заваривших эту неперевариваемую желудком кашу из методичек? oko | 100626 Рекомендую либо потратить время с пользой и изучить мат.базу, а потом уже лезть на форум со своим самоваром. Либо наконец проср*ся, раз уж желудок слабоват и не выдерживает. Только учтите, что полихеция - дело сугубо интимное, личное. И тут не общественный сортир (официальной вывески не наблюдал во всяком случае)... Игорь | 105190 Ситуация така. Мы- учреждение здравоохранения, стоматология. Соответственно деятельность - стоматологическая практика. Из всех процессов определили, что критическими будут только оказание медицинских услуг. oko | 105199 КИИ касаются ОИ в масштабах РФ (нанесение ущерба) + от компьютерных атак. Все остальное от лукавого. :)))) «ЯПлакалъ» |
|
| Автор: oko | 105217 | 07.12.2018 23:58 |
|
to Гость
oko | 100613: <В КИИ мы защищаем уже не ИОД...И в масштабах РФ, а не отдельно взятой организации> oko | 105199: <КИИ касаются ОИ в масштабах РФ (нанесение ущерба) + от компьютерных атак> Увлекательная викторина "Найди 10 отличий", ага... Ах да, не рвите цитаты из контекста - худо будет (предупреждал уже одного деятеля, и где он теперь?) <Если у вас все-таки имеется ОИ, в котором ИСПДн, ГИС, АСУ ТП и КИИ перемешаны в одну кучу, то поздравляю - вы завод по линии ГС ПВДНП, не иначе. Тогда вам к "другому регулятору", ага...> Хоть бы загуглили, что такое ПВДНП и подумали, зачем был упомянут "другой регулятор". Мимо бьете, товарищ. В который уже раз... |
|
| Автор: Нефедьев С.Г. | 105221 | 08.12.2018 10:54 |
|
> Гость | 105208
:)))) «ЯПлакалъ» Хоть крестись, но кажется. что Гость "плакалъ" от театра абсурда, связанного с правоприменением закона о КИИ. К слову, КОММЕНТАРИЙ К ФЕДЕРАЛЬНОМУ ЗАКОНУ ОТ 29 ИЮЛЯ 2004 Г. N 98-ФЗ "О КОММЕРЧЕСКОЙ ТАЙНЕ" Материал подготовлен с использованием правовых актов по состоянию на 20 апреля 2015 года С.Н. ДАНИЛИН Статья 3. Основные понятия, используемые в настоящем Федеральном законе Комментарий к статье 3 В статье определен понятийный аппарат, который используется комментируемым Законом. По общему правилу юридической техники определения понятий (предписания-дефиниции) включаются в законодательные акты в следующих случаях: когда юридический (правовой) термин сформирован с использованием специальных слов - редких либо малоупотребительных иностранных слов, а также переосмысленных общеупотребительных слов; когда правовое понятие формируется из слов, позволяющих неоднозначно истолковывать его смысл, порождающих разнообразные смысловые ассоциации. У меня к примеру возникли сразу вопросы: - кем был сформирован термин с использованием редких или малоупотребительных иностранных слов; - кем были переосмыслены общеупотребительные слова; - для какой цели требуется использовать при формировании термина редкие или малоупотребительные иностранные слова и переосмысленные общеупотребительные слова. То есть законы пишутся для тех, кому даны более юридически приоритетным законом полномочия истолковывать смысл (и наверное порождать смысловые галлюцинации :) ) |
|
| Автор: oko | 105231 | 08.12.2018 15:25 |
|
*в сторону*
<То есть законы пишутся для тех, кому даны более юридически приоритетным законом полномочия истолковывать смысл> - нельзя победить, находясь внутри системы. Как дети малые миру удивляются, право слово... |
|
| Автор: malotavr | 105243 | 08.12.2018 20:32 |
|
*туда же*
Может, стоит предупредить человека, чтобы не вздумал читать гражданский или налоговый кодексы? А то там через слово "оферты", "акцепты", "эмансипации" да "кооперативы". Вдруг не переживет такого потрясения? |
|
| Автор: Нефедьев С.Г. | 105252 | 08.12.2018 22:42 |
|
>oko | 105231
"Как дети малые" говорите? Может быть так будет более понятно? Ужас настоящего момента состоит не в том, что мы живём в условиях абсолютно кривого законодательства, административного беспредела и судебного произвола. Весь ужас состоит в том, что мы к этому привыкли и воспринимаем всё выше перечисленное как само собой разумеющееся и естественное. К чему я это всё? Совсем недавно – 9 ноября 2018 г. – состоялось событие, о котором ТЗИшная общественность узнала из постов некоторых известных блогеров – встреча этих самых блогеров с руководством ФСТЭК. Учитывая, что организаторы мероприятия не позволили задать приглашённым блогерам заранее заготовленные ими вопросы, по форме это был брифинг, на котором представители ФСТЭК признавая, что определения понятий, приведенные в 187-ФЗ «О безопасности КИИ», неверны, объявляют о том, что не собираются принимать никаких мер по их исправлению, и дают разъяснения, как это понимают они, и как следует понимать это всем остальным. Не разъяснение положений закона (что тоже было бы нонсенсом: написать закон, а потом разъяснять, как это понимать), а то, как они собираются трактовать «понятия, используемые в законе»! Из сериалов мы знаем, что так поступает криминалитет: устраивают стрелки, чтобы договориться о понятиях или поговорить «по понятиям». Но криминалитет живёт по неписанным правилам и законам и договариваться о понятиях для них жизненно необходимо, а мы живём (или должны жить) по законам писанным. И не просто писанным, а конституированным! А до чего мы докатились? В законе написано так, а мы будет понимать это этак, а вы разъясните народу, чтобы он не вякал и готовился молча переносить предстоящие экзекуции. Если перевести это на современный русский язык, то получится, примерно, следующее: паханы забили стрелку авторитетам, чтобы те объяснили братве, по каким понятиям они собираются щемить терпил. В принципе, всё это логично вытекает из, казалось бы, мелочей. Сначала во всех законах вместо раздела «Термины и определения» появился раздел «Понятия, используемые в законе». А потом не кто-нибудь, а органы государственной власти (сначала Роскомнадзор, а теперь вот и ФСТЭК) начали и свою деятельность строить по понятиям. ..... Главное – отныне нам всем предстоит жить не по закону, а по понятиям. Не только криминалитету, как раньше, а всем, без исключения. |
|
Страницы: < 1 2 3 4 5 6 >
Просмотров темы: 22327
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"