Требования регуляторов тоже надо выполнять с головой, а то можно положить всю защищаемую инфраструктуру на лопатки, или зашифровать антивирусом жёсткие диски рабочих станций  и потом получить от директора звездюлей или даже лишиться работы

Ну нет :)

Мы работали в этом направлении с некоторыми заказчиками, с подходом "парни, а если по чесноку: чего, связанного с вашим ИТ, вы действительно всерьез боитесь". И:

а) У всех у них на уровне директоров функциональных подразделений были реальные страхи (остановка производства, хищения денег и продукции и т. п.). Нам оставалось только подкорректировать в сторону "ну вот смотрите, если кто-то захочет это сделать, он сделает это вот так, и хрен вы ему помешаете".

б) А дальше им вполне зашло "даже если вы не хотите честно рассказывать об этом регулятору, то вот такие меры защиты из его нормативки, если их реализовать вот так, вполне себе способны вас от этих страхов избавить".

Кто спорит, во всем нужен разумный подход. Вот примут ПП по импортозамещению на обьектах КИИ, вот будет вилка: 1. выполнить требования ПП и заменить оборудование на отечественное, 2.  обьяснить руководству зачем менять исправное работающее оборудование на такое же только из реестра РРП и тратить на это приличные деньги.

Basic design principles «Telecommunication systems of buildings and structures» может есть у кого?

А может сначала тогда с Роскосмосом поговорить?

Я могу сказать только одно на это, то что жалею, что ФСТЭК нам не разрешил привлекать со стороны организации для помощи в категорировании, потому что топ менеджмент лучше прислушивается к стороннему мнению, чем к своим сотрудникам

Очень люблю слушать сказки про добрых интеграторов, которые хотят обеспечить мне безопасность, а не заработать денег побольше. Ничего не имею против них! Подчёркиваю это дабы избежать негатива. Но если внедрять "ненужное и неудобное" руководству и ЛПР, то не взлетит

😂😂😂😂👍👍👍👍 5+

👍

Спорят три плоскости, не желающих пересечься. Логическая (документы загружены, прокачаны, опыт, таких крайне немного), когнитивная (это сложно, потому что это сложно), политическая (ресурсов даже на обследование не выделим, никого в свой огород не пустим). Когда же они начинают пересекаться, то и аудит становится возможным и восприятие третьей точки зрения всеми сторонами и т.п.

У интеграторов основная цель - получение прибыли оказав услугу. у них нет цели обеспечить защиту информации заказчика ( им на это начхать). Да и качество работы интеграторов падает. Что говорить когда при посещении офиса филиала одного известного интегратора по коридору валялись распечатанные письма регионального управления ФСТЭК. Занавес!

👍 я ж говорю, у интеграторов у самих система защиты информации мягко говоря хромает)))

👍вот прямо с языка снял)

Любая деятельность подчиняется экономическим законам, уровню разделения труда. Простой расчет, если говорить не про КИИ. Если принять уровни затрат на ИТ (1%от оборота) и отраслевые обоснованные затраты на ИБ в цикле DevSecOps, когда сервисы становятся действительно безопасные (1 Sec на 50-100 Dev и Ops). Оборот бизнеса, которй способен оплачивать налаженную работу по безопасности по сегодняшним ценам на опытных специалистов должен начинаться  от порядка 10-25 млрд. рублей. Ниже даже нечего и думать, что что-то появится.

А ниже этого находится весь СМБ и существенная часть крупного бизнеса.

Это в основном работает, если деньги это основной актив компании, банк например. В случае с промышленными предприятиями, это балансирование между разными хотелками и активами

Это касается любых предприятий, а также и их зависимости от ИТ. У Банков затраты на ИТ выше 1%, у промышленности ниже 1%.

В РФ.