1G
Служебки/бумажки. О да. Это такое важное профессиональное умение.
Size: a a a
2021 February 27
1G
А уж безопасность от бумажек прям крепче стали.
АБ
12 Gramm
А уж безопасность от бумажек прям крепче стали.
Безопасность большая, одними техническими средствами все риски не закрыть. Бумага тоже нужна.
1G
Андрей Боровский
Безопасность большая, одними техническими средствами все риски не закрыть. Бумага тоже нужна.
Вы пишете о бумаге другого порядка. Вместо регламентов, инструкций просто куча служебок чтобы зад прикрыть.
АБ
12 Gramm
Вы пишете о бумаге другого порядка. Вместо регламентов, инструкций просто куча служебок чтобы зад прикрыть.
Так где первые лица понимают проблему, там этот тип бумаги не нужен. А там где не понимают, все бумагу марают подобным образом. В каждой организации свои порядки.
S
😂 наверно по такому принципу и работают законодатели "плохой закон лучше чем никакой", к тому же поручение есть.
Зачем писать четкие понятные термины, прислушиваться к общественным обсуждениям, расчитывать затраты на выполнение, прогнозировать его эффект. И так сойдет 😕
Зачем писать четкие понятные термины, прислушиваться к общественным обсуждениям, расчитывать затраты на выполнение, прогнозировать его эффект. И так сойдет 😕
👍
M
Андрей Боровский
В этом чате на него счетчика нет. Не интересно. Да и уж лучше блекэнерджи в/на Украине вспоминать. Оно ближе и роднее.
А есть корреляция между выполнению нормативКИИ и вероятности Stuxnet и BlackEnergy?
АБ
А есть корреляция между выполнению нормативКИИ и вероятности Stuxnet и BlackEnergy?
Смотря как выполнять нормативку по КИИ. Можно кирпичи с отписками писать, а можно систему защиты выстраивать. Меры 239 вполне соответствуют общемировой практике и позволяют минимизировать вероятность реализации угроз ИБ.
M
Андрей Боровский
Смотря как выполнять нормативку по КИИ. Можно кирпичи с отписками писать, а можно систему защиты выстраивать. Меры 239 вполне соответствуют общемировой практике и позволяют минимизировать вероятность реализации угроз ИБ.
Согласен. Меры из 239 действительно снижают риски 😊
N
Андрей Боровский
Смотря как выполнять нормативку по КИИ. Можно кирпичи с отписками писать, а можно систему защиты выстраивать. Меры 239 вполне соответствуют общемировой практике и позволяют минимизировать вероятность реализации угроз ИБ.
В самих мерах нет ничего ужасного, все сложности начинаются с того, что их нужно реализовать "верными" средствами или через тройной подвыверт сделать оценку других по закрытым бумагам. Тут тоже можно долго говорить, что это тоже часть ИБ, но "все всё понимают"
АБ
В самих мерах нет ничего ужасного, все сложности начинаются с того, что их нужно реализовать "верными" средствами или через тройной подвыверт сделать оценку других по закрытым бумагам. Тут тоже можно долго говорить, что это тоже часть ИБ, но "все всё понимают"
Предлагаю начать обсуждать и делиться мнениями по «подвывертам», а то 3 года только про субъект/не объект.
Нужно менять пластинку, глядишь представители ФСТЭК подчерпнуть в чате актуальные проблемы и Методика реализации мер 239 будет лучше чем для ГИС :)
Нужно менять пластинку, глядишь представители ФСТЭК подчерпнуть в чате актуальные проблемы и Методика реализации мер 239 будет лучше чем для ГИС :)
N
В целом ситуация забавная: государство говорит, что защищает инфраструктуру, критичны производства, оценка при категорировании включает экономические показатели, то есть владельцы заводов-проходов видят и свой потенциальный ущерб. Ещё говорится о страшном враге, о все общем отключении. Вроде все должны понимать реальность угроз и поставить уже несчастный МЭ на границе производственного сегмента и антивирусы на АРМ - небольшие деньги вроде как, да и объективно нужные.
Но что-то идёт не так. Даже в этом чатике не было пока восторженные криков от представителей субъектов, что вот, раньше нам не давали денег на МЭ, а теперь есть бумажка и заживём! Обсуждается субъект или нет и объект или нет не с целью попасть в реест и получить обоснование для защиты, а наоборот (регулятор это также постоянно говорит). Может дело не только в отсутствии штрафов?
Есть завод, есть служба ИБ, понятно, что бизнес всегда будет пытаться экономить на этой теме, но что, там прям реально нет денег на МЭ? На границе АСУ и ЛВС не такой уж фантастический трафик обычно, жирные железки редко нужны. Реальнее проблема, что людей не хватает: ни по количеству, ни по опыту, чтобы все тянуть и бумажки писать. Об этом у того же ФСТЭК спрашивают все чаще. Все эти повышения квалификации - ерунда полная и реальный опыт не заменяет, те же МУ писать - много ли сейчас людей, кто даже в интеграторах этим занимается и по новой методике легко и быстро сделает? (даже по старым, довольно простым докам видел разные творчества и к большей части вопросы). Но в итоге обучений нормальных нет, детальных методик нет (по оценке экономического ущерба первая, которая прям понравилась, если дальше будет в этом ключе, то наступит счастье), в доки вводятся требования по анализу кода, а к организационной обеспечению, то есть людям, по остаточному признаку. Да, появились изменения в 235, но и по ним на любую компанию может быть 1 человек, не зависимо от объёма, категории и тд. История с короной ещё не закончилась, но даже тут банальная подмена не учтена. Если пытаются идти от варианта "бизнес будет экономить и упрощать, поэтому надо требования ужесточать", то почему здесь этого нет? Ну будет 1 ИБшник, которому советуют или менять место или закрываться записками формально, будет в мыле затыкать дыры, от одного или другого в итоге подорвет здоровье, завод останется вообще без защиты. В общем какое-то лобби от SOCов, как ни посмотри))) Но в каждой шутке есть доля шутки и человеческий фактор важен не только в части угроз, инсайдеров и тд, но и в части самой организации защиты. Пока там все очень грустно, кмк, не везде, но много где
Но что-то идёт не так. Даже в этом чатике не было пока восторженные криков от представителей субъектов, что вот, раньше нам не давали денег на МЭ, а теперь есть бумажка и заживём! Обсуждается субъект или нет и объект или нет не с целью попасть в реест и получить обоснование для защиты, а наоборот (регулятор это также постоянно говорит). Может дело не только в отсутствии штрафов?
Есть завод, есть служба ИБ, понятно, что бизнес всегда будет пытаться экономить на этой теме, но что, там прям реально нет денег на МЭ? На границе АСУ и ЛВС не такой уж фантастический трафик обычно, жирные железки редко нужны. Реальнее проблема, что людей не хватает: ни по количеству, ни по опыту, чтобы все тянуть и бумажки писать. Об этом у того же ФСТЭК спрашивают все чаще. Все эти повышения квалификации - ерунда полная и реальный опыт не заменяет, те же МУ писать - много ли сейчас людей, кто даже в интеграторах этим занимается и по новой методике легко и быстро сделает? (даже по старым, довольно простым докам видел разные творчества и к большей части вопросы). Но в итоге обучений нормальных нет, детальных методик нет (по оценке экономического ущерба первая, которая прям понравилась, если дальше будет в этом ключе, то наступит счастье), в доки вводятся требования по анализу кода, а к организационной обеспечению, то есть людям, по остаточному признаку. Да, появились изменения в 235, но и по ним на любую компанию может быть 1 человек, не зависимо от объёма, категории и тд. История с короной ещё не закончилась, но даже тут банальная подмена не учтена. Если пытаются идти от варианта "бизнес будет экономить и упрощать, поэтому надо требования ужесточать", то почему здесь этого нет? Ну будет 1 ИБшник, которому советуют или менять место или закрываться записками формально, будет в мыле затыкать дыры, от одного или другого в итоге подорвет здоровье, завод останется вообще без защиты. В общем какое-то лобби от SOCов, как ни посмотри))) Но в каждой шутке есть доля шутки и человеческий фактор важен не только в части угроз, инсайдеров и тд, но и в части самой организации защиты. Пока там все очень грустно, кмк, не везде, но много где
N
Андрей Боровский
Предлагаю начать обсуждать и делиться мнениями по «подвывертам», а то 3 года только про субъект/не объект.
Нужно менять пластинку, глядишь представители ФСТЭК подчерпнуть в чате актуальные проблемы и Методика реализации мер 239 будет лучше чем для ГИС :)
Нужно менять пластинку, глядишь представители ФСТЭК подчерпнуть в чате актуальные проблемы и Методика реализации мер 239 будет лучше чем для ГИС :)
Давайте. Расскажете или поделитесь опытом оценки соответствия по требованиям безопасности и УД для Windows, которые стоят в АСУ (потому что АСУ давно разработана, работает и стоит денег, а SecretNet туда ставить не дадут под страхом казни)?
АН
https://www.youtube.com/watch?v=Z7B88R_aIfU
Коллеги пару лет назад в этом видео обсуждали интересные темы. Интересует вот какой вопрос - что-то прояснилось касательно использования облаков, например?
Коллеги пару лет назад в этом видео обсуждали интересные темы. Интересует вот какой вопрос - что-то прояснилось касательно использования облаков, например?
S
В целом ситуация забавная: государство говорит, что защищает инфраструктуру, критичны производства, оценка при категорировании включает экономические показатели, то есть владельцы заводов-проходов видят и свой потенциальный ущерб. Ещё говорится о страшном враге, о все общем отключении. Вроде все должны понимать реальность угроз и поставить уже несчастный МЭ на границе производственного сегмента и антивирусы на АРМ - небольшие деньги вроде как, да и объективно нужные.
Но что-то идёт не так. Даже в этом чатике не было пока восторженные криков от представителей субъектов, что вот, раньше нам не давали денег на МЭ, а теперь есть бумажка и заживём! Обсуждается субъект или нет и объект или нет не с целью попасть в реест и получить обоснование для защиты, а наоборот (регулятор это также постоянно говорит). Может дело не только в отсутствии штрафов?
Есть завод, есть служба ИБ, понятно, что бизнес всегда будет пытаться экономить на этой теме, но что, там прям реально нет денег на МЭ? На границе АСУ и ЛВС не такой уж фантастический трафик обычно, жирные железки редко нужны. Реальнее проблема, что людей не хватает: ни по количеству, ни по опыту, чтобы все тянуть и бумажки писать. Об этом у того же ФСТЭК спрашивают все чаще. Все эти повышения квалификации - ерунда полная и реальный опыт не заменяет, те же МУ писать - много ли сейчас людей, кто даже в интеграторах этим занимается и по новой методике легко и быстро сделает? (даже по старым, довольно простым докам видел разные творчества и к большей части вопросы). Но в итоге обучений нормальных нет, детальных методик нет (по оценке экономического ущерба первая, которая прям понравилась, если дальше будет в этом ключе, то наступит счастье), в доки вводятся требования по анализу кода, а к организационной обеспечению, то есть людям, по остаточному признаку. Да, появились изменения в 235, но и по ним на любую компанию может быть 1 человек, не зависимо от объёма, категории и тд. История с короной ещё не закончилась, но даже тут банальная подмена не учтена. Если пытаются идти от варианта "бизнес будет экономить и упрощать, поэтому надо требования ужесточать", то почему здесь этого нет? Ну будет 1 ИБшник, которому советуют или менять место или закрываться записками формально, будет в мыле затыкать дыры, от одного или другого в итоге подорвет здоровье, завод останется вообще без защиты. В общем какое-то лобби от SOCов, как ни посмотри))) Но в каждой шутке есть доля шутки и человеческий фактор важен не только в части угроз, инсайдеров и тд, но и в части самой организации защиты. Пока там все очень грустно, кмк, не везде, но много где
Но что-то идёт не так. Даже в этом чатике не было пока восторженные криков от представителей субъектов, что вот, раньше нам не давали денег на МЭ, а теперь есть бумажка и заживём! Обсуждается субъект или нет и объект или нет не с целью попасть в реест и получить обоснование для защиты, а наоборот (регулятор это также постоянно говорит). Может дело не только в отсутствии штрафов?
Есть завод, есть служба ИБ, понятно, что бизнес всегда будет пытаться экономить на этой теме, но что, там прям реально нет денег на МЭ? На границе АСУ и ЛВС не такой уж фантастический трафик обычно, жирные железки редко нужны. Реальнее проблема, что людей не хватает: ни по количеству, ни по опыту, чтобы все тянуть и бумажки писать. Об этом у того же ФСТЭК спрашивают все чаще. Все эти повышения квалификации - ерунда полная и реальный опыт не заменяет, те же МУ писать - много ли сейчас людей, кто даже в интеграторах этим занимается и по новой методике легко и быстро сделает? (даже по старым, довольно простым докам видел разные творчества и к большей части вопросы). Но в итоге обучений нормальных нет, детальных методик нет (по оценке экономического ущерба первая, которая прям понравилась, если дальше будет в этом ключе, то наступит счастье), в доки вводятся требования по анализу кода, а к организационной обеспечению, то есть людям, по остаточному признаку. Да, появились изменения в 235, но и по ним на любую компанию может быть 1 человек, не зависимо от объёма, категории и тд. История с короной ещё не закончилась, но даже тут банальная подмена не учтена. Если пытаются идти от варианта "бизнес будет экономить и упрощать, поэтому надо требования ужесточать", то почему здесь этого нет? Ну будет 1 ИБшник, которому советуют или менять место или закрываться записками формально, будет в мыле затыкать дыры, от одного или другого в итоге подорвет здоровье, завод останется вообще без защиты. В общем какое-то лобби от SOCов, как ни посмотри))) Но в каждой шутке есть доля шутки и человеческий фактор важен не только в части угроз, инсайдеров и тд, но и в части самой организации защиты. Пока там все очень грустно, кмк, не везде, но много где
К слову, при проверке одного банка запросил МУ, они -конечно, вот пожалуйста, читайте-изучайте. Вижу перед собой толмут о 300 листах, начинаю читать и засыпать. Вопрос. Кому нахрен из безопасников банка нужна эта МУ и кто её читает. Ответ: никому и никто!
d
В целом ситуация забавная: государство говорит, что защищает инфраструктуру, критичны производства, оценка при категорировании включает экономические показатели, то есть владельцы заводов-проходов видят и свой потенциальный ущерб. Ещё говорится о страшном враге, о все общем отключении. Вроде все должны понимать реальность угроз и поставить уже несчастный МЭ на границе производственного сегмента и антивирусы на АРМ - небольшие деньги вроде как, да и объективно нужные.
Но что-то идёт не так. Даже в этом чатике не было пока восторженные криков от представителей субъектов, что вот, раньше нам не давали денег на МЭ, а теперь есть бумажка и заживём! Обсуждается субъект или нет и объект или нет не с целью попасть в реест и получить обоснование для защиты, а наоборот (регулятор это также постоянно говорит). Может дело не только в отсутствии штрафов?
Есть завод, есть служба ИБ, понятно, что бизнес всегда будет пытаться экономить на этой теме, но что, там прям реально нет денег на МЭ? На границе АСУ и ЛВС не такой уж фантастический трафик обычно, жирные железки редко нужны. Реальнее проблема, что людей не хватает: ни по количеству, ни по опыту, чтобы все тянуть и бумажки писать. Об этом у того же ФСТЭК спрашивают все чаще. Все эти повышения квалификации - ерунда полная и реальный опыт не заменяет, те же МУ писать - много ли сейчас людей, кто даже в интеграторах этим занимается и по новой методике легко и быстро сделает? (даже по старым, довольно простым докам видел разные творчества и к большей части вопросы). Но в итоге обучений нормальных нет, детальных методик нет (по оценке экономического ущерба первая, которая прям понравилась, если дальше будет в этом ключе, то наступит счастье), в доки вводятся требования по анализу кода, а к организационной обеспечению, то есть людям, по остаточному признаку. Да, появились изменения в 235, но и по ним на любую компанию может быть 1 человек, не зависимо от объёма, категории и тд. История с короной ещё не закончилась, но даже тут банальная подмена не учтена. Если пытаются идти от варианта "бизнес будет экономить и упрощать, поэтому надо требования ужесточать", то почему здесь этого нет? Ну будет 1 ИБшник, которому советуют или менять место или закрываться записками формально, будет в мыле затыкать дыры, от одного или другого в итоге подорвет здоровье, завод останется вообще без защиты. В общем какое-то лобби от SOCов, как ни посмотри))) Но в каждой шутке есть доля шутки и человеческий фактор важен не только в части угроз, инсайдеров и тд, но и в части самой организации защиты. Пока там все очень грустно, кмк, не везде, но много где
Но что-то идёт не так. Даже в этом чатике не было пока восторженные криков от представителей субъектов, что вот, раньше нам не давали денег на МЭ, а теперь есть бумажка и заживём! Обсуждается субъект или нет и объект или нет не с целью попасть в реест и получить обоснование для защиты, а наоборот (регулятор это также постоянно говорит). Может дело не только в отсутствии штрафов?
Есть завод, есть служба ИБ, понятно, что бизнес всегда будет пытаться экономить на этой теме, но что, там прям реально нет денег на МЭ? На границе АСУ и ЛВС не такой уж фантастический трафик обычно, жирные железки редко нужны. Реальнее проблема, что людей не хватает: ни по количеству, ни по опыту, чтобы все тянуть и бумажки писать. Об этом у того же ФСТЭК спрашивают все чаще. Все эти повышения квалификации - ерунда полная и реальный опыт не заменяет, те же МУ писать - много ли сейчас людей, кто даже в интеграторах этим занимается и по новой методике легко и быстро сделает? (даже по старым, довольно простым докам видел разные творчества и к большей части вопросы). Но в итоге обучений нормальных нет, детальных методик нет (по оценке экономического ущерба первая, которая прям понравилась, если дальше будет в этом ключе, то наступит счастье), в доки вводятся требования по анализу кода, а к организационной обеспечению, то есть людям, по остаточному признаку. Да, появились изменения в 235, но и по ним на любую компанию может быть 1 человек, не зависимо от объёма, категории и тд. История с короной ещё не закончилась, но даже тут банальная подмена не учтена. Если пытаются идти от варианта "бизнес будет экономить и упрощать, поэтому надо требования ужесточать", то почему здесь этого нет? Ну будет 1 ИБшник, которому советуют или менять место или закрываться записками формально, будет в мыле затыкать дыры, от одного или другого в итоге подорвет здоровье, завод останется вообще без защиты. В общем какое-то лобби от SOCов, как ни посмотри))) Но в каждой шутке есть доля шутки и человеческий фактор важен не только в части угроз, инсайдеров и тд, но и в части самой организации защиты. Пока там все очень грустно, кмк, не везде, но много где
+++
N
К слову, при проверке одного банка запросил МУ, они -конечно, вот пожалуйста, читайте-изучайте. Вижу перед собой толмут о 300 листах, начинаю читать и засыпать. Вопрос. Кому нахрен из безопасников банка нужна эта МУ и кто её читает. Ответ: никому и никто!
Все, абсолютно все МУ по требованиям нормативки, что видел, делаются в 2 целях:
1. Обосновать, что достаточно только базовых мер из подходящих приказов
2. Дополнительно протолкнуть какую-то систему, о которой была договорённость.
Какого-то анализа или рисков там не водится
Думаю, что и по новой методике так или иначе сведутся упражнения к тому же. Так каков смысл этих упражнений? Кому это надо и кто хочет заморочиться - те и так сами пользуют Cobit, Cramm, ну и ту же MITRE.
1. Обосновать, что достаточно только базовых мер из подходящих приказов
2. Дополнительно протолкнуть какую-то систему, о которой была договорённость.
Какого-то анализа или рисков там не водится
Думаю, что и по новой методике так или иначе сведутся упражнения к тому же. Так каков смысл этих упражнений? Кому это надо и кто хочет заморочиться - те и так сами пользуют Cobit, Cramm, ну и ту же MITRE.
АБ
Давайте. Расскажете или поделитесь опытом оценки соответствия по требованиям безопасности и УД для Windows, которые стоят в АСУ (потому что АСУ давно разработана, работает и стоит денег, а SecretNet туда ставить не дадут под страхом казни)?
С таким пока не сталкивался. Но действовал бы так. Для бумажной безопасности говорим, что не применяем механизмы ИБ винды. Получаем бумажку от вендоры АСУ о несовместимости со средствами защиты и запрете их устанавливать.
Описываем и вводим кучу компенсационных мер в соответствии с окружением данных машин.
Описываем и вводим кучу компенсационных мер в соответствии с окружением данных машин.
N
Андрей Боровский
С таким пока не сталкивался. Но действовал бы так. Для бумажной безопасности говорим, что не применяем механизмы ИБ винды. Получаем бумажку от вендоры АСУ о несовместимости со средствами защиты и запрете их устанавливать.
Описываем и вводим кучу компенсационных мер в соответствии с окружением данных машин.
Описываем и вводим кучу компенсационных мер в соответствии с окружением данных машин.
Но это же профанация. Есть механизмы ОС, есть приклада АСУ, СУБД, а вместо этого бумажки и компенсационными меры?
АБ
Все, абсолютно все МУ по требованиям нормативки, что видел, делаются в 2 целях:
1. Обосновать, что достаточно только базовых мер из подходящих приказов
2. Дополнительно протолкнуть какую-то систему, о которой была договорённость.
Какого-то анализа или рисков там не водится
Думаю, что и по новой методике так или иначе сведутся упражнения к тому же. Так каков смысл этих упражнений? Кому это надо и кто хочет заморочиться - те и так сами пользуют Cobit, Cramm, ну и ту же MITRE.
1. Обосновать, что достаточно только базовых мер из подходящих приказов
2. Дополнительно протолкнуть какую-то систему, о которой была договорённость.
Какого-то анализа или рисков там не водится
Думаю, что и по новой методике так или иначе сведутся упражнения к тому же. Так каков смысл этих упражнений? Кому это надо и кто хочет заморочиться - те и так сами пользуют Cobit, Cramm, ну и ту же MITRE.
Модель угроз очень динамична. Это не разовое упражнение. И иностранные методики не помогут. Проще и на мой взгляд правильнее идти от базовых мер защиты и постепенно наращивать.