Вообще есть тенденция на сдвиги в гос секторе в пользу учета требований к ИБ, а также реальному обеспечению ИБ.

Компетентность - это ключевой способ получить соответствующую цели обеспечения ИБ модель угроз. В ИБ много сфер, где качество определяется не процедурами и формами, а компетентностью.

Поддерживаю

Потому что это бред сивой кобылы. Валенки определяют потенциал

Не понял. Какие валенки чей потенциал определяют?

Ибешные😃 применимость угроз к ним и потенциал злоумышленика

Ладно, это не на тему кии. Это порыв души после очередной проведённой проверки

А кто должен определять потенциал при построении модели? 🤔

Правильно. Ситуация, когда валенок (и неважно, кто этот валенок, безопасник или регулятор) говорит, "надо обязательно защищаться от X" - это глупость. Нормальные люди делают это по-другому.

Есть негативное последствие - можно остановить производство, восстановление будет стоить ярд. Модель угроз:
1. Школьник может остановить производство вот так, вот так и вот так. Для защиты нужно вот это и вот это, общие затраты - 10 лямов.
2. Типичный сисадмин, начитавшись Хабра, может остановить производство вот так, вот так и вот так. Для защиты нужно вот это и вот это, общие затраты - 100 лямов.
3.  APT-группировка может остановить производство вот так, вот так и вот так. Для защиты нужно вот это и вот это, общие затраты - 500 лямов. Выложить пол ярда, чтобы защититься от ущерба в ярд, который еще неизвестно, случится ли когда-нибудь? Нафиг, нафиг.

На выходе модель угроз с потенциалом "сисадмин" и меры защиты, ориентированные на "сисадмина".

Т.е. речь идет не потенциале того, кому может взбрести в голову взломать систему, а того, от кого имеет смысл защищаться.

Дааааааа

А то получается высокий потенциал спецслужбы а реализует его школота😃

Тут прозвучал правильный вопрос: спецслужбы какой страны? :)

У спецслужб США и Китая есть спецабилка: "убедить" вендора внести в массово производимый софт или железо специфическую закладку. Защищаться от такого способа атак на свои системы большинству субъектов КИИ (и даже большинству ГИС) нецелесообразно. Остальные спецслужбы в лучшем случае пытаются сравняться по своим возможностям с криминалом.

Поэтому нет смысла делить нарушителей на "энтузиаст/криминал/спецслужба", достаточно ограничиться тем, защита от каких техник проведения атак оправдывает затраты.

Проблема моделирования угроз в России хорошо проиллюстрирована в кейсе с Норильском. И статья Лукацкого про соблюдение требований НПА только добавляет красок. Бизнесу не нужны расходы на несбыточные угрозы и фантазии экспертов.

👍

А это говорит о том, что из нормативки давно пора выкинуть уровни злоумышленника. С учетом попадания в паблик инструментария спецслужб, все уже давно едино.

А как же вопрос квалификации? В паблике, конечно, есть инструмент, но воспользоваться им сможет не каждый.

Можно заплатить за 3х кнопочное решение с боевым эксплойтом анб из паблика, а можно взять бесплатный метасплойт. Уже давно все превратилось в рынок. Подпольные НИИ работают на массу :)
Тем более, закладывая в модель анб и нанимая ибшника за 3 рубля о какой квалификации можно говорить? Кто СЗИ пользоваться будет?

Привет всем, помогите пожалуйста или направьте мысль по верному вектору, уровень значимости объекта КИИ ОПРЕДЕЛИТЬ ТРЕБУЕТСЯ ,  а именно какие значимые будут в районной центральной больнице ??? ( деспетчерезация ? МИС ? Защищённая сеть из 12 ФАП

Здравствуйте, господа и дамы.

Подскажите, плз, надо ли уведомлять ФСТЭК о изменении состава комиссии по категорированию объектов КИИ?