Dyskusja:18-06.01: Różnice pomiędzy wersjami
Z WSTOIn
(Utworzono nową stronę "Termin opracowania opinii: 07 czerwca 2018") |
|||
| Linia 1: | Linia 1: | ||
Termin opracowania opinii: 07 czerwca 2018 | Termin opracowania opinii: 07 czerwca 2018 | ||
| + | |||
| + | <Adam Mizerski> | ||
| + | Uwagi "w wersji roboczej": | ||
| + | Generalnie OK, ale w przypadku progów | ||
| + | Bankowość i infrastruktura rynków finansowych | ||
| + | |||
| + | ''3. Incydent rozprzestrzenia się wewnętrznie aż do poziomu członka zarządu odpowiedzialnego za obszar IT (bądź równoważnego stanowiska kierowniczego).'' | ||
| + | Raczej standardowo w ramach raportowania incydentów informacja o incydentach dotyczących kluczowych/krytycznych systemów są na bieżąco eskalowane do członka zarządu odpowiedzialnego za IT | ||
| + | |||
| + | ''4. Incydent będzie prowadzić do naruszenia interesów osób trzecich.'' | ||
| + | Ten próg jest niemierzalny – trudno stwierdzić jakiego przypadku miałby a jakiego nie miałby dotyczyć. | ||
| + | </Adam Mizerski> | ||
| + | |||
| + | JŻ | ||
| + | Uwagi do projektu rozporządzenia w sprawie progów uznania incydentu za poważny | ||
| + | |||
| + | 5. str. 10: | ||
| + | Co projektodawca miał na myśli wymieniając „braku poufności usługi" w przypadku Incydent dotyczący prowadzenia rejestru domeny najwyższego poziomu (TLD)? | ||
| + | |||
| + | 6. | ||
| + | W projekcie rozporządzenia brakuje definicji takich pojęć jak poufność integralność i dostępność. | ||
| + | Gdyby przyjąć rozumienie tych pojęć zgodnie z rodziną norm ISO/IEC 27000, wówczas | ||
| + | w przypadki sektora infrastruktury cyfrowej, każdy incydent, który doprowadził do braku poufności, integralności lub dostępności usługi jest uznany za incydenty poważnym. A to oznacza, że że praktycznie każdy incydent usługi z tego sektora będzie musiał być uznany za incydent poważny. | ||
