АБ
не должны быть его личные проблемы. Это проблема ФСТЭК должна быть. Почему орган аттетсации лицензиата профанацией занимается
И почему в документах сертифицированной сигнатурное СОВ написано, что она выявляет веб-атаки..
Size: a a a
2021 February 27
АБ
ну вот опять. Вы же знаете про большую часть необходимых настроек безопасности, про все эти best practicies, харденинг, принцип минимальных полномочий и т.д. Есть, например, стандарты для промышленных компонентов от Siemens, есть разные гайды линии Cisco SAFE и т.д., те же CIS critical выходят регулярно. Такие базовые вещи закроют большую часть векторов и, что более важно, это нужно делать практически всегда, так как это необходимый минимум. Бери и делай, без бумажных кирпичей.
+
M
Андрей Боровский
И почему в документах сертифицированной сигнатурное СОВ написано, что она выявляет веб-атаки..
А что не так? Выявляет
DK
ну вот опять. Вы же знаете про большую часть необходимых настроек безопасности, про все эти best practicies, харденинг, принцип минимальных полномочий и т.д. Есть, например, стандарты для промышленных компонентов от Siemens, есть разные гайды линии Cisco SAFE и т.д., те же CIS critical выходят регулярно. Такие базовые вещи закроют большую часть векторов и, что более важно, это нужно делать практически всегда, так как это необходимый минимум. Бери и делай, без бумажных кирпичей.
Если я выкачу вам все 230 параметров, которые нужно настроить в винде по best practice, ваши айтишники только пальцем у виска покрутят. И правильно сделают, потому что безусловно нужных там около сотни, остальные нужны в особых случаях. Которые оцениваются при моделировании угроз :)
DK
Андрей Боровский
И почему в документах сертифицированной сигнатурное СОВ написано, что она выявляет веб-атаки..
А там это и не написано :)
N
Если я выкачу вам все 230 параметров, которые нужно настроить в винде по best practice, ваши айтишники только пальцем у виска покрутят. И правильно сделают, потому что безусловно нужных там около сотни, остальные нужны в особых случаях. Которые оцениваются при моделировании угроз :)
мы опять про горячее и красное. Все верно, спору нет, но всегда есть тот самый Top и Best, та самая сотня, а то и 50, которые сделать было бы важнее здесь и сейчас. Но до этого мало кто доходит даже после моделирования угроз, потому что это моделирование - вопрос комплаенса, бумагу пишут, потому что она должна быть, ее накладывают на базовый набор мер и все. И заковыристые детали в МУ не вносят ни бывшие студенты с горящими глазами, ни интеграторы и, более того, такие МУ проходят согласование у регуляторов. Я тоже радею за все хорошее, доброе и безопасное, но стараюсь реалистично смотреть на мир. Гайды по харденингу + методика реализации базовых мер куда полезнее, чем заставлять писать МУ, которые останутся пылиться. Да, этот подход не индивидуальный и чего-то не учтет, но он повысит защищенность больше.
DK
мы опять про горячее и красное. Все верно, спору нет, но всегда есть тот самый Top и Best, та самая сотня, а то и 50, которые сделать было бы важнее здесь и сейчас. Но до этого мало кто доходит даже после моделирования угроз, потому что это моделирование - вопрос комплаенса, бумагу пишут, потому что она должна быть, ее накладывают на базовый набор мер и все. И заковыристые детали в МУ не вносят ни бывшие студенты с горящими глазами, ни интеграторы и, более того, такие МУ проходят согласование у регуляторов. Я тоже радею за все хорошее, доброе и безопасное, но стараюсь реалистично смотреть на мир. Гайды по харденингу + методика реализации базовых мер куда полезнее, чем заставлять писать МУ, которые останутся пылиться. Да, этот подход не индивидуальный и чего-то не учтет, но он повысит защищенность больше.
Так я и говорю - не надо писать кирпич МУ ради комплайенса. Пишите для начала модель самых-самых актуальных для вас угроз, защищайтесь от них и постепенно растите дальше.
1G
Так я и говорю - не надо писать кирпич МУ ради комплайенса. Пишите для начала модель самых-самых актуальных для вас угроз, защищайтесь от них и постепенно растите дальше.
Как только ФСТЭК выкатит письмо или поправку к приказам в таком духе, так сразу соглашусь. А пока задача сделать все.
V
Так я и говорю - не надо писать кирпич МУ ради комплайенса. Пишите для начала модель самых-самых актуальных для вас угроз, защищайтесь от них и постепенно растите дальше.
для ГИС, ЗОКИИ (ГИС) это не пройдет
1G
Надо ФСТЭКу ввести 3 категории актуальных угроз.
Самые самые, самые и просто актуальные
Самые самые, самые и просто актуальные
1G
По 2 года на защиту от каждой категории. 6 лет и вуаля!
DK
для ГИС, ЗОКИИ (ГИС) это не пройдет
Ну, можно или мечтать о том, что прилетит вдруг волшебник и сразу сделает все хорошо, или работать. Работать можно только последовательно.
V
Ну, можно или мечтать о том, что прилетит вдруг волшебник и сразу сделает все хорошо, или работать. Работать можно только последовательно.
Так твоя инициатива ближе к мечтам, очень далека от реального мира
1G
Ну, можно или мечтать о том, что прилетит вдруг волшебник и сразу сделает все хорошо, или работать. Работать можно только последовательно.
Чистый waterfall, в то время как весь мир летит на Agile)
DK
Так твоя инициатива ближе к мечтам, очень далека от реального мира
Это не инициатива, мы так работаем уже лет десять. Просто кто-то из заказчиков понимает, что по-другому у него не получится, а кто-то мечтает и плачется про отсутствие бюджетов.
1G
Это не инициатива, мы так работаем уже лет десять. Просто кто-то из заказчиков понимает, что по-другому у него не получится, а кто-то мечтает и плачется про отсутствие бюджетов.
Вы работаете в интеграторе?
V
Это не инициатива, мы так работаем уже лет десять. Просто кто-то из заказчиков понимает, что по-другому у него не получится, а кто-то мечтает и плачется про отсутствие бюджетов.
Извини, но ты в коммерческой организации работаешь. У тебя изначально нет клиентов, которые вам не заплатят.
DK
Извини, но ты в коммерческой организации работаешь. У тебя изначально нет клиентов, которые вам не заплатят.
Так я и говорю про клиентов, которые по этому подходу работают
DK
12 Gramm
Вы работаете в интеграторе?
Нет, но проектированием систем защиты у заказчиков мы тоже занимаемся
V
Так я и говорю про клиентов, которые по этому подходу работают
я про другое. Ты приходишь в организацию у которой деньги есть, но нет желания их тратить на ИБ