Ну троль:)))

То есть я правильно понимаю, что по версии "разработчика приказа" порядка 50 тысяч субъектов КИИ должны будут установить у себя сканеры, SIEM, IRP/SOAR, IDS отечественного производства, при том, что ровно те же решения прописаны в приказах ФСТЭК? И несмотря на то, что именно ФСТЭК уполномочена отвечать за безопасность КИИ, выполнять надо требования ФСБ, которая за безопасность КИИ не отвечает, а только за ГосСОПКУ, которая стоит сбоку от темы КИИ?

Установка средств ГосСОПКА согласуются ссубъектом КИИ с ФСБ

Как в законе

К средством ГОССОПКА будут отнесены средства через процедуру "сертификации"

Если субъект решил воспользоваться своим правом на установку средств ГосСОПКА :) Если субъект устанавливает SIEM во исполнение приказа ФСТЭК 239, у ФСБ нет полномочий запретить, не согласовать и т.п.

То есть если я ставлю сканер/SIEM/IDS/IRP, руководствуясь приказом ФСТЭК, то мне ни с кем не надо согласовывать. А если я руководствуюсь приказами ФСБ, то надо. И по какому пути интересно пойдет субъект? По пути наименьшего сопротивления или чтобы помучиться и 45 дней ждать решения ФСБ, разрешит или нет?..

А у ФСБ есть требования по "сертификации" SIEM/IRP/сканеров?

Не все SIEM, IRP попадут в множество "средств Госсопка".

"Не только лишь все" (с) А по какому критерию они туда попадут/не попадут?

В разработке. Средства не так называются только

"Сертификация"

Поэтому и нет смысла сейчас на эту тему спорить. Мы помним, как менялись требования к средствам ГосСОПКА, окончательный вариант сильно отличается от первой редакции.

Решение за субъектом

В любом случае, сертификат условного SIEMа, подтверждаюший его соответствие требованиям приказа 196, будет всего лишь означать, что его можно использовать в качестве средства ГосСОПКА.   Это не значит, сто его нельзя использовать для других целей (например, для выполнения тпебовпний ФСТЭК), и в этом случае у НКЦКИ нет полномочий требовать согласования его установки

Алексей, этот момент вызвал небольшой вопрос. К кому имено адресованы требования по согласованию с ФСБ? Если я правильно понял из выших сообщений, данные требования адресованы именно центрам ГосСОПКа, а не субъектам КИИ (т.е. получили некое разъяснение/дополнение в части подпсания соглашения с НКЦКИ о взаимодействии). Хотя в данном приказе речь идет про субъектов КИИ. Поэтому точной уверенности про центры у меня нет.

Если точнее, они адресованы субъектам ГосСОПКА. Субъект КИИ может, не создавая собственный центр ГосСОПКА, воспользоваться своим правом на установку средств, предназначенных для обнаружения, предупреждения и т.п. Но их установку придется согласовывать, и новый приказ всего лишь определяет порядок такого согласования. Установка средств ГосСОПКА делает субъекта КИИ субъектом ГосСОПКА

Если у вас холдинг из 1000+ дочерних и зависимых обществ (или даже 5 таких обществ), то у вас есть возможность заставить каждого отправлять данные в ГосСОПКУ самостоятельно или консолидировать данные в головной структуре и отправлять все централизованно. Во втором случае вам понадобится центр ГосСОПКА и чтобы его подключить к ГосСОПКЕ надо согласовать это с ФСБ, в том числе установив соответствующие средства ГосСОПКИ. Или вы можете хотеть немного заработать и создаете аутсосринговый SOC, который берет на себя функцию управления ИБ в субъекте КИИ. Такой SOC становится центром ГосСОПКИ и должен будет установить у себя средства ГосСОПКИ. Если же у нас есть одиночный субъект КИИ, то он может поставить себе сканер/SIEM/IRP/IDS, руководствуясь требованиями приказов ФСТЭК и ничего ни с кем не согласовывая. Для взаимодействия с НКЦКИ субъект может использовать обычную почту или e-mail (передавать карточку инцидента по факсу или телефону - то еще удовольствие). Ему в этом случае даже средства взаимодействия с НКЦКИ не особо нужны. Но если инцидентов у него много, то, возможно, ему захочется автоматизировать процесс и тогда он поставит себе средство взаимодействия с ГосСОПКОЙ (по желанию), согласовав это с НКЦКИ. Но что-то есть у меня сомнения, что будет много желающих последней категории на такой мазохизм

"установка средств ГосСОПКА делает субъекта КИИ субъектом ГосСОПКА"
Вот откуда субъекты ГОССОПКА берутся ))
Спасибо за разъяснение.
Но лучше бы ссылку на НПА 😉