КоАП для КИИ. Вторая попытка ФСТЭК

    До 15 ноября есть возможность высказать свое мнение и повлиять на законопроект, который серьезно затронет сотни тысяч организаций в стране.

https://regulation.gov.ru/projects#npa=96058

Подсказки по выполнению 187-ФЗ. Реагирование на компьютерные инциденты. Часть 3.

Часть 1 - https://valerykomarov.blogspot.com/2019/10/187_14.html
Часть 2 - https://valerykomarov.blogspot.com/2019/10/187-2.html
   Продолжаем обсуждать выстраивание субъектом КИИ процессов выявления и реагирования на компьютерные инциденты на своих ОКИИ без использования средств ГосСОПКА.
   Сегодня рассмотрим два варианта журнала регистрации компьютерных инцидентов субъекта КИИ.

Неправомерный доступ к компьютерной информации

    В свете последних приговоров по ст.274.1 УК РФ, вопрос о квалификации действий пользователя информационной системы выходит на первый план. А учитывая, что ч.3 Ст.274.1 УК РФ в состав преступления относит действия с "охраняемой компьютерной информации", то все еще интереснее.

Подсказки по выполнению 187-ФЗ. Реагирование на компьютерные инциденты. Часть 2.

Начало - https://valerykomarov.blogspot.com/2019/10/187_14.html#more

   Продолжаем обсуждать выстраивание субъектом КИИ процессов выявления и реагирования на компьютерные инциденты на своих ОКИИ без использования средств ГосСОПКА.

Цена 187-ФЗ. Ретроспектива

     В 2012 году ФСТЭК предприняла попытку внести изменения в 149-ФЗ, в которых предлагалось «Частью 3 статьи 1 проекта акта предлагается дополнить редакцию закона № 149-ФЗ статьей 16.2, содержащей положения, определяющие требования к защите ИС КВО». 
     Но инициатива ФСТЭК получила разгромное заключение Минэконразвития. И требования к защите КСИИ КВО в федеральном законодательстве так и не появились, а через 4 года появился законопроект будущего 187-ФЗ, который был принят без всяких экономических расчетов и обоснований.

Подсказки по выполнению 187-ФЗ. Реагирование на компьютерные инциденты

    

    Составление и утверждение перечней объектов КИИ, подлежащих категорированию - это только начало длинного пути по выполнению требований 187-ФЗ. Общий план всех необходимых мероприятий приведен здесь. 
     Момент фиксации объекта КИИ в перечне  - это старт для процессов по выявлению компьютерных инцидентов на данном ОКИИ и информирование ФСБ о  компьютерных инцидентах в установленном порядке субъектами КИИ. Обязанность по информированию не зависит от наличия категории значимости ОКИИ. Процессы для всех субъектов КИИ, без исключения (незначимые, значимые, "объекты КИИ не требующие категорирования" и т.д.) Наказание за невыполнение пока не предусмотрено, но уже планируется. 
    Итак, подсказки по построению у субъекта КИИ процессов информирования ФСБ о компьютерных инцидентах на ОКИИ.

Неоднозначность законодательства по КИИ. Расширяем горизонты или "ребята, давайте жить дружно".

    В последнее время активизировалась публичная дискуссия по трактовке 187-ФЗ, в части толкования терминов "объект КИИ" и "субъект КИИ". Побочно идет обсуждение и процесса категорирования ОКИИ, вопрос по привязке к критическим процессам. Споры о наполнении перечня объектов, подлежащих категорированию.  Каждая сторона приводит аргументы,  опираясь на нормативку. Кто же прав в этой ситуации?

Наказание за нарушение правил эксплуатации

   Два судебных решения по привлечению к ответственности преступников по ч.4 ст.274.1 УК РФ разбудили интерес ы обществе к проблематики уголовной ответственности в сфере КИИ. Еще наказывают за "хакерский" состав, субъектам же, пока еще остается изучать вопросы применения статьи прародительницы 274 УК РФ, продолжающей свое действие.
Свой взгляд на проблему применения ст.274 УК РФ я описал ранее.

НКЦКИ@ФСБ

   

   Прошел год с момента официального создания НКЦКИ. Но до сих пор в обществе существует и активно поддерживается мнение, что НКЦКИ это ФСБ. И работники НКЦКИ имеют те же права и полномочия, что и сотрудники 8 Центра ФСБ. Предлагаю определиться в этом вопросе.