tag:blogger.com,1999:blog-8610893113861061435.post533830987152070002..comments2023-06-11T12:02:03.785+03:00Comments on Рупор "бумажной" безопасности: Подсказки по выполнению 187-ФЗ. Начало.Комаров Валерийhttp://www.blogger.com/profile/09144285084155309355noreply@blogger.comBlogger27125tag:blogger.com,1999:blog-8610893113861061435.post-49674835285149362692020-11-17T14:29:20.392+03:002020-11-17T14:29:20.392+03:00Буквально понимать. 187-ФЗ и подзаконные акты треб...Буквально понимать. 187-ФЗ и подзаконные акты требуется выполнять исключительно субъектам КИИ. Нет объектов КИИ - нет субъекта КИИ. Не надо ничего направлять в ФСТЭККомаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-35593265373112332732020-11-17T13:52:28.001+03:002020-11-17T13:52:28.001+03:00Как тогда понимать это?
https://fstec.ru/tekhnich...Как тогда понимать это?<br /><br />https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/2076-informatsionnoe-soobshchenie-fstek-rossii-ot-17-aprelya-2020-g-n-240-84-612<br /><br />Одновременно отмечаем, что предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется.Anonymoushttps://www.blogger.com/profile/10116523438579392314noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-90665822432913069802020-01-13T23:24:33.303+03:002020-01-13T23:24:33.303+03:00Площадка с шпаргалками для субъектов КИИ https://z...Площадка с шпаргалками для субъектов КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-samoidentifikaciia-subekta-kii-5e1cc391118d7f00adfc579aКомаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-13286027239217176522018-10-22T20:45:14.039+03:002018-10-22T20:45:14.039+03:00Организация при каждом изменёнии своего реестра ИС...Организация при каждом изменёнии своего реестра ИС обязана проверять, иначе она просто не узнает, что стала субъектом КИИ и ей теперь необходимо выполнять 187-фз. Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-34691810894555967022018-10-22T11:15:46.486+03:002018-10-22T11:15:46.486+03:00"В 187-ФЗ и ПП127 предусмотрены плановые срок..."В 187-ФЗ и ПП127 предусмотрены плановые сроки пересмотра пересмотра и указаны основания для внеплановых пересмотров."<br /><br />Сколько смотрел, так и не смог найти указаний для периодичности пересмотра. Основные сроки указаны для плановых проверок регуляторов (3 года) и пересмотр категории (5 лет). Но это все для значимых\не значимых объектов. <br />А вот для организаций которые не являются субъектами, никаких обязанностей для сбора комиссии и ежегодного пересмотра своих объектов на предмет выявления новых, попадающий по 13 областей ФЗ-187, нет. <br /><br />Вся ситуация напоминает "анекдот", когда безногий инвалид должен был раз в 5 лет подтверждать свою инвалидности для получения льгот. Можно подумать что за 5 лет у него нога бы выросла. <br /><br />Я к тому, что делать этот пересмотр, многим организациям не к чему. КИИ у них нет, не будет и неоткуда взяться. Ну например, организация которая занимается бух учетом. Какой смысл ей каждый год писать бумагу что у них за прошедший год не появилось объекта КИИ?Сергейhttps://www.blogger.com/profile/01568535309799474420noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-19188293013533945372018-10-18T21:21:54.699+03:002018-10-18T21:21:54.699+03:00Алексей, это зависит от формулировок приказа на со...Алексей, это зависит от формулировок приказа на создание комиссии. Если в самом приказе будет прописано, что комиссии выполнять свою работу в соответствии с правилами категорирования, утвержденных пп127, то повторное цитирование в самом положении будет избыточно. Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-36209816749258518682018-10-18T14:10:07.255+03:002018-10-18T14:10:07.255+03:00Посмотрите, пожалуйста, мой самый первый комментар...Посмотрите, пожалуйста, мой самый первый комментарий. Я не призываю работать "по понятиям", я лишь вопрошаю, мол не будет ли Положение избыточным, если деятельность Комиссии по категорированию описана в ПП-127 (или эти Правила категорирования недостаточно четко установлены?) ;)Алексейhttps://www.blogger.com/profile/06579484435327737265noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-18575736162184830662018-10-17T23:32:50.424+03:002018-10-17T23:32:50.424+03:00Теперь у ФСТЭК есть аргумент, что процесс, описанн...Теперь у ФСТЭК есть аргумент, что процесс, описанный в ПП127 рабочий и реализуемый на практике - внесены записи в реестр значимых объектов.Нет оснований искать выход, все хорошо и так.Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-17799732900451187812018-10-17T23:22:00.309+03:002018-10-17T23:22:00.309+03:00Да, ситуация более, чем странная. Но самое печальн...Да, ситуация более, чем странная. Но самое печальное - из неё, похоже, нет выхода?Атаманов Г. А.https://www.blogger.com/profile/04116790425053577120noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-70585443153245022212018-10-17T21:21:08.269+03:002018-10-17T21:21:08.269+03:00Аргумент про мнение юристов - слабый. Сколько юрис...Аргумент про мнение юристов - слабый. Сколько юристов, столько и мнений. Да, возможна ситуация, когда юрист не пропустит на согласовании положение с прямым цитированием, тогда придется описывать своими словами. И прошу заметить, что цитирую я соответствующий раздел Правил категорирования, утвержденные ПП127.<br />И положение о комиссии создается для того, что бы упорядочить работу членов комиссии.Это просто "правила работы комиссии". Можете попробовать работать "по понятиям", без положения и четко установленных правил.Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-80702458842922180792018-10-17T21:05:11.375+03:002018-10-17T21:05:11.375+03:00В 187-ФЗ и ПП127 предусмотрены плановые сроки пере...В 187-ФЗ и ПП127 предусмотрены плановые сроки пересмотра пересмотра и указаны основания для внеплановых пересмотров. Это, если даже не брать появление новых ИС у субъекта. Зачем плодить приказы о создании комиссий в организации? Создали один раз и все, пока оргштатные изменения не пройдут. В положение о комиссии четко прописано, что собирается она по необходимости.<br />"3.1. Заседания Комиссии проводятся по мере необходимости.<br />3.2. Решение о проведении заседания Комиссии принимается Председателем Комиссии по предложению, внесенному секретарем Комиссии,<br />в том числе на основании предложений членов Комиссии."<br />Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-88592112395371537142018-10-17T20:54:27.896+03:002018-10-17T20:54:27.896+03:00Уже настолько кривая схема заложена, что никакие к...Уже настолько кривая схема заложена, что никакие корректировки не помогут. Изменения будут вносится конечно, но иллюзий я бы не испытывал. ПП127 - это подзаконный акт, описывающий КАК субъекту определять категорию значимости уже выявленного объекта КИИ. (смотрим 187-ФЗ "Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры." и " 2. Правительство Российской Федерации устанавливает:<br />1) показатели критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования".<br />А ФСТЭК половину процесса категорирования посвятил описанию действий организации по ВЫЯВЛЕНИЮ объектов КИИ. В существующей связке ФЗ-ПП, телега впереди лошади оказалась. Организация должна выполнить подзаконный акт, что бы понять необходимость выполнения самого закона.Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-40912195027930442702018-10-17T16:02:42.109+03:002018-10-17T16:02:42.109+03:00Скажем так, коллеги, у меня основная претензия к п...Скажем так, коллеги, у меня основная претензия к предложенному Положению в том, что там много заимствований из ПП-127.<br />Кстати, а есть документик, который предписывает наличие такого положения?<br /><br />Мне доводилось готовить правовые акты в одном территориальном подразделении кое какого ФОИВ. И вот мне приходилось от юристов, проводивших правовую экспертизу, выслушивать в свой адрес тирады, мол какой я юридически неграмотный, что слово в слово переношу определения, нормы, прописанные в нормативных правовых актах, имеющих большую юридическую силу или на которые я так или иначе ссылаюсь.Алексейhttps://www.blogger.com/profile/06579484435327737265noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-32412819346585710652018-10-17T10:19:13.276+03:002018-10-17T10:19:13.276+03:00Положение о комиссии в организации обязательно дол...Положение о комиссии в организации обязательно должно быть! О любой комиссии, в том числе и об этой. Чего-то другого, отличного от того, что предлагает Валерий, придумать трудно, да и не нужно: глупая работа требует глупого подхода. Другое дело, что создание комиссий – это один из способов размывания ответственности. Они хороши тогда, когда нужно завалить дело. Дело не сделано, а наказать некого. Комиссия! Атаманов Г. А.https://www.blogger.com/profile/04116790425053577120noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-57596511111876944722018-10-17T10:16:01.955+03:002018-10-17T10:16:01.955+03:00Не совсем так. Не итоговый вывод, а вся деятельнос...Не совсем так. Не итоговый вывод, а вся деятельность по выполнению 187-ФЗ должна с этого начинаться. И начинать её должен руководитель подразделения (ответственный за) кибербезопасность предприятия. Именно в его обязанности входит отслеживание законодательства в этой сфере. Он должен написать служебную (докладную) записку директору (или курирующему заму) с: а) обоснованием необходимости создания комиссии (при наличии ИС/АСУ/ИТКС, «функционирующих в сфере») или б) докладом об отсутствии необходимости создания комиссии, вследствие отсутствия на предприятии ИС/АСУ/ИТКС, «функционирующих в сфере». <br />ФСТЭК не должна была (и не имела права) давать такие рекомендации, но была обязана (по 187-ФЗ) выступить с предложениями по корректировке «кривых» определений. А так, действительно получается, что федеральный орган исполнительной власти осуществляет руководство не по закону, а по понятиям. Чтобы этого не было, необходимо приводить закон в соответствие с логикой и нормами государственного языка. Атаманов Г. А.https://www.blogger.com/profile/04116790425053577120noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-11477280681583556212018-10-17T07:49:38.071+03:002018-10-17T07:49:38.071+03:00Так имеет право регулятор спрашивать субъект орган...Так имеет право регулятор спрашивать субъект организация или не субъект КИИ? Хорошо, спросить, наверно, может, а повлиять на ответ может? Скорее всего нет, что-то я не помню такого в 187-ФЗ.<br />Субъект или не субьект КИИ определяет сама организация (или, возможно, суд), поэтому какой смысл регулятору этим интересоваться, если он на это не может повлиять? Другой вопрос в том, что с регулятором лучше не ссорится, но мы же рассматриваем правововую ситуацию, а не где все по понятиям. <br /><br />Я говорил об избыточности по отношению к Положению о комиссии. Создание комиссии не считаю избыточным (даже какую-либо бумажку о том, что субъект или не субъект), а вот положение о ней, которое копирует ПП-127 - да.Алексейhttps://www.blogger.com/profile/06579484435327737265noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-18095429999243055312018-10-17T07:40:06.982+03:002018-10-17T07:40:06.982+03:00Вроде как, несовсем так, ведь, если чисто формальн...Вроде как, несовсем так, ведь, если чисто формально, не комиссия по категорированию следит за тем, а нет ли оснований для пересмотра установленной ранее категории, а субъект КИИ. Понятное дело, что субъект КИИ в лице руководителя это кому-то делегирует.<br />Ну и опять же, если бы комиссия была постоянно действующей, то почему законодатель не поступил так, как с ПДТК, когда словоа "Постоянно действующая" уже вложены в название?<br />Мне все же кажется, что эта комиссия не постоянно действующая, а периодически созываемая, а то так мы дойдём до того, что некоторым субъектам придётся создавать штатное подразделение по категорированию объектов КИИ. <br />Ну и надо понимать, что не все субъекты КИИ одинаково равны. Где-то столько ИС, что на пальцах одной руки умещаются, а некоторые, согласен, могут быть более объемными.Алексейhttps://www.blogger.com/profile/06579484435327737265noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-1762240309424046462018-10-16T21:45:48.784+03:002018-10-16T21:45:48.784+03:00Сергей, в положении о комиссии три варианта и проп...Сергей, в положении о комиссии три варианта и прописаны: акт об отнесении объекта к КИИ, акт категорирования и заключение о не кии.Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-25946076964275033332018-10-16T21:42:50.932+03:002018-10-16T21:42:50.932+03:00По поводу избыточности создания комиссии и копипас...По поводу избыточности создания комиссии и копипаста ПП127. Эта избыточность присутствует в случаях, если организация не субъект КИИ. Но она служит для снижения риска руководителя организации, при запросах или иных действиях регуляторов. Копипаст ПП127 заложен целенаправленно, для невозможности опротестовать регулятору решение комиссии по формальному признаку.Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-85523946080185769332018-10-16T21:38:33.058+03:002018-10-16T21:38:33.058+03:00Слабо верится, что кто то из руководителей организ...Слабо верится, что кто то из руководителей организации возьмет на себя персональную ответственность за принятие решения "субъект или не субъект" и оформит ее в виде документа. Да и неофициальное решение он будет принимать после получения исходной информации о реальной обстановке. Да - для этого комиссия не нужна, может любой сотрудник провести по устному поручению директора.Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-29283072874547375562018-10-16T21:34:03.063+03:002018-10-16T21:34:03.063+03:00Комиссия должна быть постоянно действующей. ИТ-лан...Комиссия должна быть постоянно действующей. ИТ-ландшафт динамичен. В таком случае, лучше прописывать, что отчет о выполнении пунктов таких то приказа ежеквартально или другой период.Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-20039037485431067562018-10-16T21:31:01.439+03:002018-10-16T21:31:01.439+03:00Итоговый вывод должен быть именно про ИС/АСУ/ИТКС ...Итоговый вывод должен быть именно про ИС/АСУ/ИТКС функционирующие в 13 сферах КИИ. А это возможно как при наличии ИС/АСУ/ИТКС, обеспечивающих основную деятельность самой организации - организация функционирует в 13 сферах, так и при наличии на балансе ИС/АСУ/ИТКС, которыми пользуются другие организации. Таким алгоритмом пытаюсь упростить жизнь организации, больно уж термины и определения криво заданы в законодательстве. сферы деятельности организаций намного проще определять, чем сферы функционирования ИС/АСУ/ИТКС. + это совпадает с рекомендациями ФСТЭК по выполнению ПП127, меньше проблем при проверке.Комаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-156139396398183612018-10-16T21:23:35.686+03:002018-10-16T21:23:35.686+03:00Добавил проект приказаДобавил проект приказаКомаров Валерийhttps://www.blogger.com/profile/09144285084155309355noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-60358842879090995812018-10-16T21:19:18.881+03:002018-10-16T21:19:18.881+03:00Валерий, а почему в одном случае "Организация...Валерий, а почему в одном случае "Организация функционирует в 13 сферах КИИ", а в другом "Есть ИС/АСУ/ИТКС функционирующие в 13 сферах КИИ"? Атаманов Г. А.https://www.blogger.com/profile/04116790425053577120noreply@blogger.comtag:blogger.com,1999:blog-8610893113861061435.post-1602238170592473782018-10-16T10:39:24.434+03:002018-10-16T10:39:24.434+03:00Распишите сроки в приказе о комиссии, что, мол, со...Распишите сроки в приказе о комиссии, что, мол, создать комиссию по категорированию, следующими пунктами поручаем комиссии провести инвентаризацию до такого числа, ответственный такой-то, подготовить Перечень до такого числа, ответственный такой-то, и т.д. Приказ берется на контроль в подразделении делопроизводства и секретарь будет мучать членов комиссии о сроках выполнения, и им никуда не деться, надо выполняться, собираться . <br /><br />Ну и есть такие субьекты, где члены комиссии не отвлекутся на год, так как или обьектов мало, или возьмут аутсорс.<br /><br />Я вообще считаю, что это все индивидуально. Валерий высказал свое мнение, я свое, Вы свое, и все они верные (ну мне так кажется).Алексейhttps://www.blogger.com/profile/06579484435327737265noreply@blogger.com