SP
Методологически это все правильно, т.к. мы можем наблюдать только сам факт нарушения/прекращения .. а причину нужно устанавливать
Size: a a a
2019 January 17
AS
Если он не входит в КИИ - то его нарушение не инцидент на КИИ
SP
Если он не входит в КИИ - то его нарушение не инцидент на КИИ
Не важно это все
AS
Sergey Pariev
Не важно это все
Каждую аварию надо репортить? Без фильтрации?
SP
Если произошло нарушение работы объекта кии - это компьютерный инцидент
AS
Sergey Pariev
Если произошло нарушение работы объекта кии - это компьютерный инцидент
Замкнутый круг :)
SP
Каждую аварию надо репортить? Без фильтрации?
Что именно репортить - это немного другой вопрос
AS
Sergey Pariev
Что именно репортить - это немного другой вопрос
Инциденты надо репортить, если они инциденты 🤦♂
SP
Это дело нцкци задавать ее какие-то фильтры на репортинг .. но в общем случае получается, что репортить надо все инциденты
AS
Sergey Pariev
Это дело нцкци задавать ее какие-то фильтры на репортинг .. но в общем случае получается, что репортить надо все инциденты
Мне казалось это должно быть в нормальных документах определено
SP
И методологически это опять же правильно, т.к. в обективно наблюдаем только сам факт нарушения
AS
Sergey Pariev
И методологически это опять же правильно, т.к. в обективно наблюдаем только сам факт нарушения
По твоей логике все технологические аватари - это компьютерные инциденты по умолчанию, без фильтрации!
DD
Sergey Pariev
Методологически это все правильно, т.к. мы можем наблюдать только сам факт нарушения/прекращения .. а причину нужно устанавливать
Не соглашусь. Является нарушение работы компьютерным инцидентом или ошибочным действием персонала должно определять расследование. Незачем любое нарушение режимов работы или аварии заводить как компьютерный инцидент по умолчанию. Это совсем неправильно.
AS
Значит о каждой надо репортить, и на каждую надо вызывать команду респонса
SP
По твоей логике все технологические аватари - это компьютерные инциденты по умолчанию, без фильтрации!
Это прямо следует из определения ФЗ 187
DD
Нужны процессы и люди которые буду определять причины событий и нарушений
AS
На примере того того же тритона, сначала работает респонс команда изучающая аварию, при появлении в цепочке причин "умного/connected" устройств, должны появляться computer incident response team и инцидент должен называться компьютерным
DD
У энергетиков есть постановление правительства о порядке проведения расследований инцидентов и аварий. Там отдельно не указано что нужно искать причины со стороны иб
SP
Dmitry Darensky
Не соглашусь. Является нарушение работы компьютерным инцидентом или ошибочным действием персонала должно определять расследование. Незачем любое нарушение режимов работы или аварии заводить как компьютерный инцидент по умолчанию. Это совсем неправильно.
Это правильно, т.к. расследование компьютерного инцидента проводимое субъектом не всегда может выявить реальную причину
SP
У него банально может не хватать тех. компетенций, спец. оборудования, персонала .. а самое главное - часто и желания докапываться до реальной причины