Что из законодательства о критической информационной инфраструктуре нужно знать собственнику бизнеса, руководителю компании, руководителю подразделения, ответственного за обеспечение безопасности, чтобы минимизировать риски привлечения к административной ответственности. Первоочередные действия компаний в 2019г.
Основное содержание Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Какие понятия и определения закона нужно знать и правильно трактовать при самостоятельность проведении работ.
Структура подзаконных актов в области КИИ. Основное содержание Постановления Правительства РФ №127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ и их значений». Что принципиально изменится в обновленном ПП-127 в 2019г.?
Какими нормативно правовыми актами ФСТЭК РФ и ФСБ РФ необходимо руководствоваться при организации работ на первом этапе работ? Основное содержание подзаконных актов, которое необходимо Вам знать для первоочередных действий?
Какие сроки I и II этапов определены регуляторами по выполнению требований ФЗ-187 и обязательные мероприятия этих этапов?
Первые примеры трудозатрат специалистов ИБ на этапе категорирования в крупных компаниях. Почему это несколько тысяч человеко-часов?
Кто должен войти в состав комиссии по категорированию и кого нужно назначить ответственным?
Какие процессы в компании необходимо отнести к критическим и как оценить последствия их нарушений? Как определить взаимосвязь объекта КИИ с критическими процессами в компании?
Особенности формирования перечня объектов КИИ в компании. Какие объекты нужно категорировать?
Какие объекты КИИ компания обязана будут отнести к значимым объектам?
Как грамотно снизить категорию значимости своих объектов КИИ»?
В каком виде необходимо отправить в вышестоящее ведомство и ФСТЭК обязательный перечень объектов КИИ? Форма документа. Какой срок установил ФСТЭК России для предоставления актов категорирования объектов КИИ?
Первый опыт утверждения перечня объектов Управлениями ФСТЭК в 2018г. Почему в списках субъекта оказались сотни объектов? Сколько объектов должна утвердить комиссия по категорированию в вашей компании?
Какую информацию компании не нужно направлять во ФСТЭК?
Пошаговые действия комиссии при определении категории значимости каждого объекта КИИ.
Какая информация по программному обеспечению, техническим средствам, средствам защиты информации, телекоммуникационным сетям, информационным системам, автоматизированным системам управления в компании, станет основой первого документа, направляемого во ФСТЭК? Как быть, если на момент подачи сведений во ФСТЭК, компания, из-за отсутствия ресурсов, не приняла организационно-технические меры по обеспечении безопасности?
Какие приказы ФСТЭК и их содержание, нужно учитывать, кроме документов по КИИ, при категорировании объектов?
Какой срок установил ФСТЭК РФ для мероприятий по обеспечению безопасности значимых объектов КИИ?
Почему ФСТЭК интересуют только значимые объекты КИИ, а ФСБ и Прокуратуру интересуют все объекты?
Впервые за защиту информации введена уголовная ответственность. Какие составы ст.274.1 Уголовного кодекса РФ являются критичными для руководителей компании и ответственных за обеспечение безопасности?
Как ФСТЭК может привлечь к административной ответственности руководителя организации?
Как ФСБ может привлечь к уголовной ответственности руководителя организации?
Формирование требований по обеспечении безопасности значимых объектов.
Разработка технического задания. Разработка модели угроз безопасности объекта КИИ.
Требования к организационно-распорядительным документам по безопасности значимых объектов.
Какие средства защиты информации необходимо установить, настроить и провести приемочные испытания?
В каких случаях направляется Модель угроз во ФСТЭК, если объект КИИ в учреждении является ГИС.
Должен ли учитываться и как определить масштаб возможных последствий в случае возникновения компьютерных инцидентов на значимом объекте?
Можно ли учитывать компенсирующие меры, в случае если не установлены средства защиты информации, при определении категории значимости?
Почему информирование, обучение персонала и повышение квалификации ответственного за защиту информации стало обязательным по федеральному законодательству? Какие требования предъявляются к обучению работников (пользователей) и ответственных за обеспечение безопасности в компании?
Какую информацию учреждение обязано предоставлять в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на объекты организации?
Перечень и порядок предоставления информации в ГосСОПКа в соответствии с Приказом ФСБ России№ 367 от 24.07.2018г.
Порядок обмена информацией о компьютерных инцидентах и Порядок получения информации о средствах и способах проведения компьютерных атак и о методах их предупреждения в соответствии с Приказом ФСБ №368 от 24.07.2018г.
Национальный координационный центр по компьютерным инцидентам и субъект КИИ. Действия организации и предприятия в соответствии с Приказом ФСБ №366 от 24.07.2018г.
В НКЦКИ необходимо передавать информацию по каждому компьютерному инциденту или только по инцидентам на значимых объектах КИИ?
Кто в компании обязан отправлять информацию об компьютерных инцидентах в НКЦКИ?
Как трактовать позицию ФСТЭК: «..больше следуйте духу, а не букве закона ФЗ-187»