M
На самом деле все очень странно, так как та же методика моделирование угроз подразумевает риск-ориентированный подход, когда организации сами определяют для себя актуальные угрозы и защищаться именно от них🤔
Size: a a a
2021 February 04
N
На самом деле все очень странно, так как та же методика моделирование угроз подразумевает риск-ориентированный подход, когда организации сами определяют для себя актуальные угрозы и защищаться именно от них🤔
мммм, нет, не подразумевает.
Там есть попытка оценить наличие угрозы, но нет какого-то анализа реального ущерба, финансового того же
Там есть попытка оценить наличие угрозы, но нет какого-то анализа реального ущерба, финансового того же
M
Если риск-ориентированного подхода нет - дайте мне список из 100 угроз, от которых мне стоит защищаться, скажите какими средствами и документами
N
Если риск-ориентированного подхода нет - дайте мне список из 100 угроз, от которых мне стоит защищаться, скажите какими средствами и документами
в принципе практичеки это и есть - есть БДУ, дадут правила отсеивания совсем нереальных для вашей инфраструктуры и есть каталоги в 21,17 и 239 - выбирайте )
M
мммм, нет, не подразумевает.
Там есть попытка оценить наличие угрозы, но нет какого-то анализа реального ущерба, финансового того же
Там есть попытка оценить наличие угрозы, но нет какого-то анализа реального ущерба, финансового того же
Из проекта методики:
Оценка уровня опасности угрозы безопасности информации
предусматривает оценку сложности ее реализации для рассматриваемой архитектуры и условий функционирования систем и сетей, а также возможного
масштаба негативных последствий (ущерба) в случае успешной реализации этой угрозы.
По уровням опасности угрозы безопасности информации подразделяются на угрозы высокого, среднего, низкого уровня опасности
Оценка уровня опасности угрозы безопасности информации
предусматривает оценку сложности ее реализации для рассматриваемой архитектуры и условий функционирования систем и сетей, а также возможного
масштаба негативных последствий (ущерба) в случае успешной реализации этой угрозы.
По уровням опасности угрозы безопасности информации подразделяются на угрозы высокого, среднего, низкого уровня опасности
N
это слова - давай конкретно где там финансовый ущерб рассчитывается
M
При защите ГТ риск-ориентированный подход не применяется, там все четко - список мер которые нужно выполнить.
В 17, 21, 239 приказах я лично усмотрел поворот к риск-ориентированного подходу, теперь не государство, а владелец системы определяет от каких угроз и как ему защищаться (есть список мер из которых можно выбрать или предложить компенсирующие, требования к сертификации только к ГИС и МИС)
В 17, 21, 239 приказах я лично усмотрел поворот к риск-ориентированного подходу, теперь не государство, а владелец системы определяет от каких угроз и как ему защищаться (есть список мер из которых можно выбрать или предложить компенсирующие, требования к сертификации только к ГИС и МИС)
V
а вы задайтесь вопросами кто финансирует защиту ГТ и кто иную информацию
M
Может быть будет разворот от данного подхода?!
M
Ни с кем спорить до хрипоты не собираюсь ))
АА
риск ориентированный подход это в деньгах, сколько стоит
N
Хороший доклад, довольно прямой
V
Инфофорум 2021. Доклад НКЦКИ https://www.youtube.com/watch?v=T7OU2UBhMFo
EO
а вы задайтесь вопросами кто финансирует защиту ГТ и кто иную информацию
И кто? Всегда платит гражданин)
M
риск ориентированный подход это в деньгах, сколько стоит
Проект методики вполне допускает оценку рисков возникновения негативных последствий от опреденной угрозы в денежной форме. (про оценку затрат на закрытие тех или иных рисков там разумеется нет ничего)
Посмотрим на итоговую методику ФСТЭК, говорят скоро появится.
Посмотрим на итоговую методику ФСТЭК, говорят скоро появится.
N
Инфофорум 2021. Доклад НКЦКИ https://www.youtube.com/watch?v=T7OU2UBhMFo
Доклад с политическим подтекстом, и о том что сисадминам в органах госвласти не дали помайнить крипту. В банках все закрыто, но по почте все же что-то пролетает. Скучно.
V
Доклад Торбенко Е.Б по КИИ на Инфофоруме https://www.youtube.com/watch?v=LcqWzXfa3as&feature=youtu.be&fbclid=IwAR1O14yP3ysa2JWmzz4wddrvPorc86qbOBou3Ed4LG3jp8uo9Q07bDiRJ50
M
Доклад Торбенко Е.Б по КИИ на Инфофоруме https://www.youtube.com/watch?v=LcqWzXfa3as&feature=youtu.be&fbclid=IwAR1O14yP3ysa2JWmzz4wddrvPorc86qbOBou3Ed4LG3jp8uo9Q07bDiRJ50
"Если вы осуществляете деятельность в 13 сферах - вы субъект КИИ". Эх.... в закон бы такую фразу....
V
"Если вы осуществляете деятельность в 13 сферах - вы субъект КИИ". Эх.... в закон бы такую фразу....
определение субъектов задано однозначно и корректно, внесение изменений в 187-ФЗ считаем не целесообразным. (ФСТЭК)
N
так и живем ))