21 мая, вторник 10:14
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от malotavr Посмотреть сообщение
    государственной услугой
    Есть еще регистрация в ЕСИА/ЕБС

    Комментарий


    • Сообщение от Александр Четвертый Посмотреть сообщение
      Есть еще регистрация в ЕСИА/ЕБС
      Это тоже не государственная услуга.

      Государственная услуга, по определению, предоставляется "федеральным органом исполнительной власти, органом государственного внебюджетного фонда, исполнительным органом государственной власти субъекта Российской Федерации, а также органом местного самоуправления при осуществлении отдельных государственных полномочий".

      У банка никаких государственных полномочий быть не может. Так что ничего из того, что делает банк, государственной услугой не является.

      Конкретно в случае регистрации в ЕСИА банк оказывает услугу оператору ЕСИА, который, в свою очередь, является субъектом КИИ. И это уже задача оператора категорировать свой объект КИИ, сформулировать требования безопасности к нему и добиться от исполнителя выполнения этих требований в части, касающейся этого исполнителя. Сам по себе исполнитель об этом заботиться не обязан.

      Комментарий


      • извиняюсь, если вопрос уже задавался
        вот здесь сказано:
        https://fstec.ru/normotvorcheskaya/i...-n-240-25-3752
        Направлять в ФСТЭК России утвержденный руководителем субъекта критической информационной инфраструктуры (или уполномоченным лицом) перечень объектов критической информационной инфраструктуры, подлежащих категорированию, оформленный в соответствии с приложением 1
        а к самому сообщению никаких приложений не было.
        Что это за Приложение 1 и где его посмотреть?

        Комментарий


        • Сообщение от junglets Посмотреть сообщение
          извиняюсь, если вопрос уже задавался
          вот здесь сказано:
          https://fstec.ru/normotvorcheskaya/i...-n-240-25-3752

          а к самому сообщению никаких приложений не было.
          Что это за Приложение 1 и где его посмотреть?
          Например, тут http://it-security.admin-smolensk.ru...40_25_3752.pdf

          Плюс в посте #47 выложен архив, где есть это в xls виде.


          Комментарий


          • Airat_Kzn
            спасибо, по ссылке есть, а вот из архива непонятно, что это именно то приложение к сообщению

            Комментарий


            • junglets
              Как же нет - файл "Перечень объектов КИИ.xlsx"

              Комментарий


              • Airat_Kzn

                ну вообще то если не знать, то нигде нет указания, что файл "Перечень объектов КИИ.xlsx" и есть Приложение 1 к информационному сообщению ФСТЭК

                Комментарий


                • Коллеги, хотелось бы еще раз поднять вопрос: в каком виде направлять результаты категорирования по выявленным объектам КИИ, которые не признаны значимыми?
                  Может ли кто-нибудь из сдавших (в максимально обобщенном виде, естественно) приложить здесь документ направленный во ФСТЭК (и принятый им).

                  Потому что у нас модель угроз и модель нарушителя для каждой из систем - это документ страниц так на несколько. Что, надо по каждому объекту КИИ такой документ составлять вне зависимости от того, значимый он или нет?

                  Комментарий


                  • Сообщение от exodus Посмотреть сообщение
                    Коллеги, хотелось бы еще раз поднять вопрос: в каком виде направлять результаты категорирования по выявленным объектам КИИ, которые не признаны значимыми?
                    Может ли кто-нибудь из сдавших (в максимально обобщенном виде, естественно) приложить здесь документ направленный во ФСТЭК (и принятый им).

                    Потому что у нас модель угроз и модель нарушителя для каждой из систем - это документ страниц так на несколько. Что, надо по каждому объекту КИИ такой документ составлять вне зависимости от того, значимый он или нет?
                    Есть установленная форма https://fstec.ru/component/attachments/download/1901

                    Комментарий


                    • Сообщение от exodus Посмотреть сообщение
                      Коллеги, хотелось бы еще раз поднять вопрос: в каком виде направлять результаты категорирования по выявленным объектам КИИ, которые не признаны значимыми?
                      Может ли кто-нибудь из сдавших (в максимально обобщенном виде, естественно) приложить здесь документ направленный во ФСТЭК (и принятый им).

                      Потому что у нас модель угроз и модель нарушителя для каждой из систем - это документ страниц так на несколько. Что, надо по каждому объекту КИИ такой документ составлять вне зависимости от того, значимый он или нет?
                      Модель угроз БИ ФСТЭК не нужна. Нужен перечень угроз. Можно тупо копипастить угрозы из БДУ. Но я рекомендую в п. 6.2 выписывать актуальные угрозы ("с помощью ВПО нарушитель может подменять реквизиты платежного документа") и в скобках указывать для них соответствующие классы угроз из БДУ ("УБИ.006 Угроза внедрения кода или данных"). Тогда и формальные признаки соблюдены (перечислены "угрозы безопасности информации"), и понятно, откуда показатели взялись.

                      Комментарий


                      • Сообщение от ivanov_nv Посмотреть сообщение
                        Есть установленная форма https://fstec.ru/component/attachments/download/1901
                        Сообщение от malotavr Посмотреть сообщение
                        Модель угроз БИ ФСТЭК не нужна. Нужен перечень угроз. Можно тупо копипастить угрозы из БДУ. Но я рекомендую в п. 6.2 выписывать актуальные угрозы ("с помощью ВПО нарушитель может подменять реквизиты платежного документа") и в скобках указывать для них соответствующие классы угроз из БДУ ("УБИ.006 Угроза внедрения кода или данных"). Тогда и формальные признаки соблюдены (перечислены "угрозы безопасности информации"), и понятно, откуда показатели взялись.
                        Спасибо огромное, коллеги!

                        Комментарий


                        • Вышли изменения в ПП 127

                          Комментарий


                          • Сообщение от svarog.coop Посмотреть сообщение
                            Вышли изменения в ПП 127
                            Интересен 3 пункт в самом начале:

                            Рекомендовать субъектам критической информационной инфраструктуры - российским юридическим лицам и (или) индивидуальным предпринимателям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию

                            Рекомендации же не являются обязательными, или же потом придет еще одно письмо с обязательными требованиями?

                            P.s. изменения не вступили в силу, и когда вступят хз.


                            Комментарий


                            • Сообщение от Ar4i Посмотреть сообщение
                              Рекомендации же не являются обязательными
                              Регулятор пришлет письмо и все рекомендации станут обязательными требованиями с указанием сроков. А изменения в КоАП укажут верную дорогу для мотивации руководителей и иных должностных лиц...

                              Комментарий


                              • Сообщение от Ar4i Посмотреть сообщение

                                Интересен 3 пункт в самом начале:

                                Рекомендовать субъектам критической информационной инфраструктуры - российским юридическим лицам и (или) индивидуальным предпринимателям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию

                                Рекомендации же не являются обязательными, или же потом придет еще одно письмо с обязательными требованиями?

                                P.s. изменения не вступили в силу, и когда вступят хз.

                                Постановления Правительства вступают в силу через семь дней после опубликования. Так что изменения вступят в силу на следующей неделе.

                                "Рекомендовать" - потому что даже Правительство не уполномочено устанавливать для коммерческих компаний какие-либо сроки, если они не установлены законом.

                                Письмо ЦБ, если оно и будет выпущено, будет такой же рекомендацией. ЦБ вообще не уполномочен что-либо требовать в вопросах КИИ.

                                Комментарий


                                • Сообщение от malotavr Посмотреть сообщение
                                  "Рекомендовать" - потому что даже Правительство не уполномочено устанавливать для коммерческих компаний какие-либо сроки, если они не установлены законом.

                                  Так получается можно тогда и не торопиться с выполнениями требований?)
                                  И на все вопросы отвечать: мол типа скоро всё будет, мы еще перечень объектов критической информационной инфраструктуры не составили, поэтому в ФСТЭК ничего не направили)) А когда скоро еще не известно...

                                  Комментарий


                                  • Коллеги, у меня вопрос по поводу перечня угроз, т.е. как я понимаю, мы берем объект КИИ, например корпоративная сеть и определяем для нее актуальные угрозы из реестра угроз ФСТЭК?

                                    Определяем нарушителей для данного объекта КИИ. Каким образом это сделать? брать типы нарушителей из модели нарушителей к ИСПДн? так у нас не ИСПДн,
                                    Может есть какой то документ где описываются типы нарушителей в отношении объектов КИИ?

                                    По поводу модели угроз какой же вопрос, МУ же описывает ИСПДн. каким образом я могу ее применить к объекту КИИ (например корпоративная сеть)

                                    Объясните пожалуйста)

                                    Комментарий


                                    • Добрый день.
                                      На каком-то из совещаний представитель ФСТЭК говорил, что для КИИ можно использовать документацию для значимых КИИ и КСИИ.
                                      Посмотрите информационное письмо ФСТЭК от 4 мая 2018 г. № 240/22/2339
                                      Ссылка

                                      Комментарий


                                      • Сообщение от svarog.coop Посмотреть сообщение
                                        Добрый день. На каком-то из совещаний представитель ФСТЭК говорил, что для КИИ можно использовать документацию для значимых КИИ и КСИИ. Посмотрите информационное письмо ФСТЭК от 4 мая 2018 г. № 240/22/2339
                                        Спасибо с этим вроде разобрался, по каким документам определять угрозы итд.

                                        Теперь другой вопрос:
                                        1. "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007)
                                        2. "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры.
                                        идут под грифом ДСП и в открытом доступе их нет, теперь вопрос откуда их взять, чтобы определить угрозы?

                                        Комментарий


                                        • Для определения актуальных угроз можете воспользоваться перечнем из Рекомендаций Банка России РС ИББС-2.2-2009

                                          Комментарий


                                          • Сообщение от svarog.coop Посмотреть сообщение
                                            Для определения актуальных угроз можете воспользоваться перечнем из Рекомендаций Банка России РС ИББС-2.2-2009
                                            Спасибо за информацию.

                                            Правда терзают смутные сомнения, как отреагирует ФСТЭК на перечень таких актуальных угроз, например: Запугивание и шантаж

                                            Комментарий


                                            • Сообщение от Ar4i Посмотреть сообщение
                                              Спасибо за информацию.Правда терзают смутные сомнения, как отреагирует ФСТЭК на перечень таких актуальных угроз, например: Запугивание и шантаж
                                              Строго говоря, ФСТЭК глубоко наплевать, какие именно угрозы вы включаете. Считаете, что сами по себе запугивание и шантаж имеют отношение к компьютрным атакам - ваше право.

                                              Но на самом деле, если вы говорите об анализе угроз при создании системы защиты объекта КИИ, то в приказе 239 прямо предписано руководствоваться БДУ ФСТЭК. В качестве дополнительных методических материалов вы можете пользоваться чем угодно, хоть рекомендациями Банка России, хоть документами по ИСПД, хоть документами по КСИИ, хоть Att&CK. Я рекомендую последнее, так как все остальные бесконечно далеки от вопросов защиты от компьютерных атак

                                              Комментарий


                                              • Коллеги, как я понял в ФСТЭК мы направляем список объектов КИИ, затем акты. А форму указанную в приказе 236 когда нужно направлять? вместе с актами? или же ее вообще не нужно отправлять в ФСТЭК?

                                                Комментарий


                                                • Сообщение от Ar4i Посмотреть сообщение
                                                  Коллеги, как я понял в ФСТЭК мы направляем список объектов КИИ, затем акты. А форму указанную в приказе 236 когда нужно направлять? вместе с актами? или же ее вообще не нужно отправлять в ФСТЭК?
                                                  Как мы поняли, акты вообще направлять не нужно. Это остается как наше подтверждение выполнения категорирования и исходная информация для заполнения формы со сведениями о результатах категорирования и присвоения уровня значимости.
                                                  Направлять:
                                                  - сначала перечень объектов с указанием срока категорирования;
                                                  - затем, до конца указанного срока, формы со сведениями о результатах категорирования + сопроводительное письмо + все это еще на CD-диске.

                                                  Комментарий


                                                  • Коллеги, как считаете для ФСТЭК прокатит указание как ОКИИ трех объектов - ДБО, АБС и Локальной сети?

                                                    Комментарий


                                                    • Как минимум еще свифт и арм кбрн указал бы...

                                                      Комментарий


                                                      • Сообщение от Nikolas_R Посмотреть сообщение
                                                        Коллеги, как считаете для ФСТЭК прокатит указание как ОКИИ трех объектов - ДБО, АБС и Локальной сети?
                                                        ФСТЭК параллельно, какие объекты вы внесете в перечень. Они проверяют правильность категорирования объектов, а не их перечень.

                                                        Комментарий


                                                        • коллеги, может кто уже приступил к разработке регламент взаимодействия с госсопкой? Буду благодарен если поделитесь рыбкой.

                                                          Комментарий


                                                          • Сообщение от malotavr Посмотреть сообщение

                                                            ФСТЭК параллельно, какие объекты вы внесете в перечень. Они проверяют правильность категорирования объектов, а не их перечень.
                                                            Мы пока на этапе отправки перечня ОКИИ в ФСТЭК, так что едим слона по частям.

                                                            Комментарий


                                                            • Сообщение от H4mek Посмотреть сообщение
                                                              коллеги, может кто уже приступил к разработке регламент взаимодействия с госсопкой? Буду благодарен если поделитесь рыбкой.
                                                              А вам не повезло и у вас имеется значимые объекты КИИ?

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X