tag:blogger.com,1999:blog-7314557066073505547.post7565127859717214973..comments2022-12-07T02:29:45.629-08:00Comments on Блог Сергея Борисова про ИБ: КИИ. Категорирование объектов, часть 4. Высокоуровневая оценка ущерба КИИСергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-7314557066073505547.post-29379710293072132172022-02-11T06:35:02.167-08:002022-02-11T06:35:02.167-08:00Сергей добрый день.
Очень рассчитываю на ваш ответ...Сергей добрый день.<br />Очень рассчитываю на ваш ответ, т.к. доверяю вашему мнению. <br />В сети сколько экспертов, столько и точек зрения по вопросам КИИ.<br />По определению (187-ФЗ) ОКИИ - это ИС, ИТКС и АСУ. Как говорится коротко и не совсем ясно. Т.е. любая ИС, ИТКС и АСУ де факто является критической без всяких дополнительных условий? <br />Далее АСУ тоже не совсем ясно.<br />Например УЗИ аппарат, на котором врач проводит диагностику пациента. Это АСУ? А если к нему подключили компьютер для обработки и хранения изображений это уже ИС? При этом одни относят аппарат УЗИ к ЗОКИИ, а другие нет. Аргументы расплывчатые и спорные. <br />То же касается ИВЛ, кардиомониторов, электрокардиографов, лабораторных анализаторов. <br />Могли бы вы привести пример для большей ясности перечня ОКИИ в системе здравоохранения на отдельно взятом объекте с разбивкой по типам ОКИИ?<br />Спасибо.Сергейhttps://www.blogger.com/profile/07759765551919285277noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-86360316846328075272020-09-15T02:36:07.966-07:002020-09-15T02:36:07.966-07:00Спасибо, Сергей!
В распоряжении Правительства РФ о...Спасибо, Сергей!<br />В распоряжении Правительства РФ от 25.04.2011 N 729-р (ред. от 28.11.2018) "Об утверждении перечня услуг, оказываемых государственными и муниципальными учреждениями и другими организациями..." никакие регламенты не установлены, ведомственных (МЧС) ограничений тем более нет. Отлично, у нас не будет ни одного критичного процесса :) - госуслуги могли бы сильно напрячь, конечно.Николайhttps://www.blogger.com/profile/04457903410369012434noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-56252715366661062822020-09-14T02:34:48.496-07:002020-09-14T02:34:48.496-07:00Николай, расшифровываю.
В пункте 5 речь идёт не о ...Николай, расшифровываю.<br />В пункте 5 речь идёт не о фактическом времени простоя, а о том что, если для гос. услуги каким то документом установлено максимально разрешенное время её недоступности, тогда на основании этого времени мы проводим категорирование. <br />Если такое время не установлено - то наш объект КИИ не значимый (либо гос. услуга неправильно регламентирована)<br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-10221099213882516442020-09-11T03:50:17.192-07:002020-09-11T03:50:17.192-07:00Сергей, добрый день!
Не могли бы Вы расшифровать ...Сергей, добрый день!<br /><br />Не могли бы Вы расшифровать п.5 "Перечня показателей значимости объектов КИИ": во-первых, такое впечатление, что показатели категорий написаны в обратном порядке. Во-вторых, "Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)" - "менее или равно 6" - т.е. даже микросекунда уже дает первую категорию значимости. И даже если 1 час, всё равно неясно - когда регламенты выполнять? (Те же обновления, плановые работы).<br />Медицинское учреждение, ФГБУ - т.е. по признакам ФОИВ, а значит, госуслуги здравоохранения. И вот по п.5 (хорошо хоть не пятая графа :) - попадаем на категорию :(Николайhttps://www.blogger.com/profile/04457903410369012434noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-72180954133930978732020-09-07T00:55:17.386-07:002020-09-07T00:55:17.386-07:00Николай, спасибо. Тоже недавно делал обзор, и на э...Николай, спасибо. Тоже недавно делал обзор, и на это тоже обратил внимание https://sborisov.blogspot.com/2020/08/blog-post_20.html<br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-20980424250880196022020-09-04T07:03:54.809-07:002020-09-04T07:03:54.809-07:00Сергей, спасибо Вам за титанический труд по просве...Сергей, спасибо Вам за титанический труд по просвещению пользователей в вопросах ИБ.<br />Возвращаясь к теме КТ/МРТ: в документе "МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по определению объектов КИИ и категорий значимости объектов КИИ в медицинских учреждениях Департамента здравоохранения города Москвы" <br />https://niioz.ru/doc/metodichki/metodicheskie-rekomendatsii-po-kii-dzm-v.4.pdf<br />на стр.20:<br />"Оборудование типа – Рентгеновский аппарат, МРТ, КТ и т.д. прошедшее<br />регистрацию в Росздравнадзоре относится к медицинским изделиям и в перечне не<br />указываются. В случаях, когда к данному аппарату (несколько аппаратов) подключены<br />специализированные рабочие станции, на которых происходит хранение медицинских<br />данных (или если имеются специализированное сервера, на которые передается<br />медицинская информация с данных аппаратов), то данный сегмент рассматриваем как<br />автоматизированную систему управления". <br />Возможно, кому-то эта ссылка пригодится.Николайhttps://www.blogger.com/profile/04457903410369012434noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-18549201729562326412020-02-11T20:49:54.421-08:002020-02-11T20:49:54.421-08:00Не совсем понятно как рассчитывать возможный эконо...Не совсем понятно как рассчитывать возможный экономический ущерб. Например - в банке. Ведь для выбора категории нужно сравнивать с показателями ПП127 именно егоSitNoffhttps://www.blogger.com/profile/10277869233102862926noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-36487171873891478652019-09-23T22:48:49.408-07:002019-09-23T22:48:49.408-07:00"Методика определения актуальных угроз безопа..."Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных"(утв. ФСТЭК РФ 14.02.2008)<br />Вроде как есть разница между утвержденной методикой и не утвержденной.<br />Это все равно, что ссылаться в суде на проект не подписанного президентом ФЗ.BUKTOPhttps://www.blogger.com/profile/11702285620829837058noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-72700576267410662362019-09-23T06:35:03.806-07:002019-09-23T06:35:03.806-07:00Это методический документ, а не обязательное требо...Это методический документ, а не обязательное требование. Методические документы используются на усмотрение оператора, тогда, когда в этом есть необходимость. В нем были недочеты, но лучше него ничего не было, так что приходится пользоваться им. <br />Точно также можно было бы сослаться на проект (draft) какого то стандарта ISO, NIST, OWASP. Ими тоже пользуются и на них тоже ссылаются, пока не будет выпущен релиз.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-11353213321126516512019-09-22T22:41:24.216-07:002019-09-22T22:41:24.216-07:00"МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФО..."МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ" 2015г. - это проект, не утвержденный и по ныне, разве можно на него ссылаться?BUKTOPhttps://www.blogger.com/profile/11702285620829837058noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-41899526457375972962019-02-21T23:22:49.313-08:002019-02-21T23:22:49.313-08:00Анна:
1) По поводу сегмента - надо смотреть, есть...Анна: <br />1) По поводу сегмента - надо смотреть, есть ли у вас серверы в этом сегменте. Есть ли у вас задачи, которые вы решаете с использованием данного ПО, которые вас не обязывал делать Минздрав и про которые он может не знать? Если нет, то не учитывайте - я об этом писал в предыдущей статье про КИИ. <br /><br />2) Да, считайте объектом КИИ типа ИС. Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-7057341834437048322019-02-01T04:17:07.026-08:002019-02-01T04:17:07.026-08:00Сергей, тоже интересуют вопросы по здраву.
У нас п...Сергей, тоже интересуют вопросы по здраву.<br />У нас перинатальный центр.<br /><br />1)Есть сегмент ЕМИАС. И не могу понять это будет нашим объектом КИИ или нам его не учитывать, т.к. оператором определен Минздрав?<br /><br />2) Есть томографы, маммографы, рентген-аппараты. У них у всех принцип работы такой: есть сам аппарат, есть отдельная консоль для проведения процедуры исследования (выбираем зону исследования, осуществляем запуск исследования и т.д.), и есть АРМ врача-рентгенолога, на который передаются полученные снимки, установлено специальное ПО для просмотра снимков и подготовки описаний результатаов исследования для выдачи пациенту. Все эти устройства связаны линиями связи только между собой. Никакого подключения к ЛВС или Интернет не имеют.<br />Встал вопрос считать ли это АСУ или ИС и, собственно, объектом КИИ?Аннаhttps://www.blogger.com/profile/11181079574410959800noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-64385075818191333392018-12-28T01:08:27.169-08:002018-12-28T01:08:27.169-08:00С Артемом лично обсудили указанные вопросы.
Про т...С Артемом лично обсудили указанные вопросы. <br />Про то что лишние объекты, кроме МИС нужно убрать. Как оценить степень автоматизации.<br />Региональный сегмент ЕГИСЗ категорирует его владелец Минзрав или по его поручению оператор МИАЦ. <br />С остальными разделами формы 236 надеюсь проблем не возникнет. Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-78664992504201872992018-12-27T22:51:34.560-08:002018-12-27T22:51:34.560-08:00Добрый день, подскажите пожалуйста что именно треб...Добрый день, подскажите пожалуйста что именно требуется отправить в фстэк?<br /><br />Только форму 236 от 22 декабря 2017 года? для каждого объекта получается отдельно заводится такая форма?<br /><br />Можете ли привести пример заполненной такой формы по объекту?<br /><br />В посте про "КИИ. КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ, ЧАСТЬ 3" у вас сначала были выделены одни объекты КИИ, в этом посте уже фигурирет и ЕГИСЗ и система скорой помощи и т.д. Это появилось в процессе категорирования или как?<br /><br />Работаю в роддоме, могли бы вы скинуть какие-то наработки для примера на почту? tyo2439@yandex.ru<br /><br />интересны именно форма 236 и акты категорированияtemaseyhttps://www.blogger.com/profile/07971524397779838318noreply@blogger.com