M
В качестве эксперта в суде может быть кто угодно, обладающий опреденными знаниями.
Size: a a a
2021 June 28
M
А вот статусом "судебный эксперт" обладают специалисты, знающие методики проведения соответствующих эксперты, которые подтвердили свои навыки
DK
Процедуры и процессуальный статус разные.
Эксперту задают определенный набор вопросов, он должен подтвердить свою квалификацию именно по этим вопросам и дать отсылку к методике, которую он использовал в своем заключении. Буквально на днях изучал одно интересное решение по налоговому спору: обе стороны привели экспертные заключения с противоположными выводами. Одно из них суд отклонил, назвав причины:
- эксперт имеет профильное образование в ИБ, но его научная деятельность никак не связана с существом заданных вопросов ("тоже ИБ" не прокатило)
- в экспертном заключении нет отсылок к методике (вариант "я эксперт, я так считаю" тоже не канает).
В итоге заключение этого эксперта было охарактеризовано как как "мнение третьего лица". Но он хотя бы привлекался в качестве эксперта. А здесь речь идет только о допросе свидетеля.
Эксперту задают определенный набор вопросов, он должен подтвердить свою квалификацию именно по этим вопросам и дать отсылку к методике, которую он использовал в своем заключении. Буквально на днях изучал одно интересное решение по налоговому спору: обе стороны привели экспертные заключения с противоположными выводами. Одно из них суд отклонил, назвав причины:
- эксперт имеет профильное образование в ИБ, но его научная деятельность никак не связана с существом заданных вопросов ("тоже ИБ" не прокатило)
- в экспертном заключении нет отсылок к методике (вариант "я эксперт, я так считаю" тоже не канает).
В итоге заключение этого эксперта было охарактеризовано как как "мнение третьего лица". Но он хотя бы привлекался в качестве эксперта. А здесь речь идет только о допросе свидетеля.
DK
З.Ы. Это не значит что в данном случае свидетель не разбирается в вопросе - но почему-то обвинение не рискнуло привлечь его в качестве эксперта
M
И что? Совершенно нормально, когда суд "эксперта" понижает до "свидетеля", сомневаясь в его квалификации.
M
В качестве эксперта может выступать любое лицо, обладающее необходимыми специальными знаниями и не заинтересованное в исходе дела, поскольку закон не содержит каких-либо формальных требований к квалификации эксперта.
Вызов эксперта, назначение и производство судебной экспертизы осуществляются в порядке, установленном статьями 195 - 207, 269, 282 и 283 УПК РФ.
Вызов эксперта, назначение и производство судебной экспертизы осуществляются в порядке, установленном статьями 195 - 207, 269, 282 и 283 УПК РФ.
DK
Совершенно нормально. Для заключения эксперта обязательна отсылка к методикам (статья 204), но в отсутствие таких никто не мешает человеку высказать свое мнение в качестве свидетеля. Это тоже доказательство, а насколько оно значимо суд решает сам в каждом конкретном случае.
M
Недостаточно информации по вопросам к доценту-эксперту.
Так что споры бессмысленны😳
Эксперты экспертных учреждений не дают суждения по вопросам правового характера, а проводят исследования по определенным видам экспертиз. Не на все случаи будут методики, но эксперт на то и эксперт, чтобы предложить свой экспертный метод исследования и по нему получить результат ))
Так что споры бессмысленны😳
Эксперты экспертных учреждений не дают суждения по вопросам правового характера, а проводят исследования по определенным видам экспертиз. Не на все случаи будут методики, но эксперт на то и эксперт, чтобы предложить свой экспертный метод исследования и по нему получить результат ))
M
Прямо в экспертное заключение вписываешь свою методику и все 😊
DK
AP
Добрый день. Подскажите, на основании какого приказа выбирать меры защиты для ис без категории значимости, если это не гис и не испдн?
V
на основании любого на усмотрение владельца. Обязанности нет их выполнять, но есть право вдобровольно мопрядке
AP
Спасибо
OP
Завтра в Код ИБ АКАДЕМИИ продолжение мастер-класса Дмитрия Кузнецова, Директора по методологии и стандартизации, Positive Technologies, про моделирование угроз по новой методике ФСТЭК.
Вот что говорит Дмитрий:
"Я обобщил то, что спрашивали коллеги очно и в телеграм-каналах. Получился вот такой список вопросов. Каждый вопрос довольно объёмен и потребует развернутого ответа".
1. Общие вопросы
Какую практическую пользу может дать модель угроз, если она пишется еще до проектирования системы?
Как при моделировании угроз использовать БДУ ФСТЭК?
Требуется ли лицензия подрядчику, проводящему анализ угроз?
Как моделировать угрозы в случае размещения информационной системы в ЦОД или в облаке?
2. Определение негативных последствий
Кто должен принимать решение об актуальности негативного последствия
Как выглядит процесс определения негативных последствий?
3. Определение объектов воздействия
Нужно ли проводить инвентаризацию всей ИТ-инфраструктуры?
Как определить, что может стать объектом воздействия?
Если ЦОД или оператор облака не хочет сотрудничать, чем это грозит?
4. Определение источников угроз
В методике жестко заданы виды нарушителей, их цели и возможности. Как это использовать? Должна ли поликлиника защищаться от атак со стороны спецслужб и если нет, то как это обосновать?
Почему в основном упоминаются нарушители? Как моделировать ошибки пользователей?
Какие источники угроз считать техногенными такие угрозы?
5. Оценка способов реализации угроз
Что такое “способ реализации угрозы”? Что вообще понимается под угрозой? В методике есть определение? В методике есть определение, но оно никак не используется.
Что такое интерфейсы объектов воздействия?
6. Оценка актуальности угроз и разработка сценариев
Как строятся сценарии? Насколько детальными должны быть сценарии?
Должны ли в сценариях учитываться реализованные меры защиты?
Для чего в методике вводятся собственные тактики и техники, отличающиеся от ATT&CK и CAPEC? Почему нельзя использовать уже имеющиеся таксономии тактик и техник?
Кроме, того, каждый участник сможет задать вопрос в чате или выйдя в эфир, и мы тоже его разберем.
Подробности тут.
Если пропустили прошлый мастер-класс, можете получить к нему доступ.
Вот что говорит Дмитрий:
"Я обобщил то, что спрашивали коллеги очно и в телеграм-каналах. Получился вот такой список вопросов. Каждый вопрос довольно объёмен и потребует развернутого ответа".
1. Общие вопросы
Какую практическую пользу может дать модель угроз, если она пишется еще до проектирования системы?
Как при моделировании угроз использовать БДУ ФСТЭК?
Требуется ли лицензия подрядчику, проводящему анализ угроз?
Как моделировать угрозы в случае размещения информационной системы в ЦОД или в облаке?
2. Определение негативных последствий
Кто должен принимать решение об актуальности негативного последствия
Как выглядит процесс определения негативных последствий?
3. Определение объектов воздействия
Нужно ли проводить инвентаризацию всей ИТ-инфраструктуры?
Как определить, что может стать объектом воздействия?
Если ЦОД или оператор облака не хочет сотрудничать, чем это грозит?
4. Определение источников угроз
В методике жестко заданы виды нарушителей, их цели и возможности. Как это использовать? Должна ли поликлиника защищаться от атак со стороны спецслужб и если нет, то как это обосновать?
Почему в основном упоминаются нарушители? Как моделировать ошибки пользователей?
Какие источники угроз считать техногенными такие угрозы?
5. Оценка способов реализации угроз
Что такое “способ реализации угрозы”? Что вообще понимается под угрозой? В методике есть определение? В методике есть определение, но оно никак не используется.
Что такое интерфейсы объектов воздействия?
6. Оценка актуальности угроз и разработка сценариев
Как строятся сценарии? Насколько детальными должны быть сценарии?
Должны ли в сценариях учитываться реализованные меры защиты?
Для чего в методике вводятся собственные тактики и техники, отличающиеся от ATT&CK и CAPEC? Почему нельзя использовать уже имеющиеся таксономии тактик и техник?
Кроме, того, каждый участник сможет задать вопрос в чате или выйдя в эфир, и мы тоже его разберем.
Подробности тут.
Если пропустили прошлый мастер-класс, можете получить к нему доступ.
2021 June 29
АС
Коллеги, добрый день!
Напомните эпопея с отнесением водоканалов к субъектам КИИ кончилась тем, что все водоканалы стали СуКИИ?
Напомните эпопея с отнесением водоканалов к субъектам КИИ кончилась тем, что все водоканалы стали СуКИИ?
V
ничем вроде не закончилась. Нет общепринятой позиции
АС
Понял, спасибо 🙏
V
Во всяком случае, Росводоканал себя не признал субъектом КИИ https://t.me/ruporsecurite/796
M
Так же как и другие предприятия: кто захотел стал субъектом КИИ, кто не захотел - не стал
S
А некоторым помогли им стать