DK
нет. Сейчас операторы не тратят столько денег
Я про неспособность операторов защититься. Или нужно закрепить этот факт законодательно, сняв с них обязанность защищаться, или менять текущую ситуацию, и тогда они должны тратить деньги на защиту
Size: a a a
2021 March 11
DK
А вариант "давайте мы ничего делать не будем, а вы будете считать, что мы исполняем обязанность" - ни разу не вариант
V
ты озвучил как все и будет. Толку от выхода методики, если ее использование ничем не обеспечено?
N
Я про неспособность операторов защититься. Или нужно закрепить этот факт законодательно, сняв с них обязанность защищаться, или менять текущую ситуацию, и тогда они должны тратить деньги на защиту
Дмитрий, сколько стоит разработка МУ на одну систему от профессионалов, если их в организации нет? Чтобы не закрываться словами, что для абстрактной системы невозможно сказать, это неверно и т.д. давайте возьмем что-то из реальной жизни - на ваш выбор можно что-то, но не пограничные случаи, вроде банальной 1С-ки для мелкого юрика.
И можно сразу продолжить - как думаете, небольшие конторы легко потянут эти суммы? Сейчас на рынке клепают бумажки тыщ по 10 - и то есть недовольные. Да, результат текущий полная шляпа, да он никому не нужен, да, по новой методике в целом можно добиться светлого и прекрасного будущего, но если закрыть глаза на это и подойти только с точки зрения финансовых возможностей
И можно сразу продолжить - как думаете, небольшие конторы легко потянут эти суммы? Сейчас на рынке клепают бумажки тыщ по 10 - и то есть недовольные. Да, результат текущий полная шляпа, да он никому не нужен, да, по новой методике в целом можно добиться светлого и прекрасного будущего, но если закрыть глаза на это и подойти только с точки зрения финансовых возможностей
V
да уже обсуждали, этих профессионалов физически не хватит что бы в разумные сроки промоделировать всех объекты защиты
DK
Дмитрий, сколько стоит разработка МУ на одну систему от профессионалов, если их в организации нет? Чтобы не закрываться словами, что для абстрактной системы невозможно сказать, это неверно и т.д. давайте возьмем что-то из реальной жизни - на ваш выбор можно что-то, но не пограничные случаи, вроде банальной 1С-ки для мелкого юрика.
И можно сразу продолжить - как думаете, небольшие конторы легко потянут эти суммы? Сейчас на рынке клепают бумажки тыщ по 10 - и то есть недовольные. Да, результат текущий полная шляпа, да он никому не нужен, да, по новой методике в целом можно добиться светлого и прекрасного будущего, но если закрыть глаза на это и подойти только с точки зрения финансовых возможностей
И можно сразу продолжить - как думаете, небольшие конторы легко потянут эти суммы? Сейчас на рынке клепают бумажки тыщ по 10 - и то есть недовольные. Да, результат текущий полная шляпа, да он никому не нужен, да, по новой методике в целом можно добиться светлого и прекрасного будущего, но если закрыть глаза на это и подойти только с точки зрения финансовых возможностей
Для одной системы - 3-4 человекомесяца трудозатрат, если заниматься только этим и если есть готовые наработки.
На самом деле цель методики немножко в другом:
1. Парни, моделировать угрозы нужно вот так. Да, это сложно, да, это требует специалистов, причем не только закерской направленности, но и чтобы в предметной области какое-то представление имели
2. А дальше отраслевые регуляторы начинают заниматься отраслевым моделированием угроз. Я знаю четыре отрасли, где этим на уровне отрасли начали заниматься, причем задолго до этой методики.
На самом деле цель методики немножко в другом:
1. Парни, моделировать угрозы нужно вот так. Да, это сложно, да, это требует специалистов, причем не только закерской направленности, но и чтобы в предметной области какое-то представление имели
2. А дальше отраслевые регуляторы начинают заниматься отраслевым моделированием угроз. Я знаю четыре отрасли, где этим на уровне отрасли начали заниматься, причем задолго до этой методики.
N
да уже обсуждали, этих профессионалов физически не хватит что бы в разумные сроки промоделировать всех объекты защиты
вот даже без учета этого момента - просто ценник. МУ разрабатывается же не пару дней по новой методике, а заметно больше. У спецов в вендоре/интеграторе есть косты (привязанные в том числе к ЗП, а спец должен быть хорошего уровня, да?), далее наценка....
DK
да уже обсуждали, этих профессионалов физически не хватит что бы в разумные сроки промоделировать всех объекты защиты
Это смотря какой срок ты считаешь разумным. По мне разумный срок - 10-15 лет.
N
Это смотря какой срок ты считаешь разумным. По мне разумный срок - 10-15 лет.
для ГИС МУ нужны для ввода системы в эксплуатацию. Думаю ОИВ такие сроки не поймут
N
для КИИ также все реализуется после МУ, сроки контроля после категорирования ЗОКИИ - 3 года. Опять не получается....
АС
да уже обсуждали, этих профессионалов физически не хватит что бы в разумные сроки промоделировать всех объекты защиты
Мне кстати в прошлый раз никого кроме PT из тех самых полутора интеграторов, которые могут, не назвали никого :)
DK
для ГИС МУ нужны для ввода системы в эксплуатацию. Думаю ОИВ такие сроки не поймут
Для конкретной ИС - 3-4 человекомесяца. И где взять человека, способного за это время сделать в первом приближении модель угроз, мы нежделю назад обсуждали :)
10-15 лет - это про "всех объектов защиты"
10-15 лет - это про "всех объектов защиты"
V
путаница идет межу "реальными сроками" и "разумными сроками"
DK
Мне кстати в прошлый раз никого кроме PT из тех самых полутора интеграторов, которые могут, не назвали никого :)
Мне называть конкурентов лояльность раболтодателю не позволяет :)
N
Для конкретной ИС - 3-4 человекомесяца. И где взять человека, способного за это время сделать в первом приближении модель угроз, мы нежделю назад обсуждали :)
10-15 лет - это про "всех объектов защиты"
10-15 лет - это про "всех объектов защиты"
да я цену просил. Вот я больница, мне нужно 3 МУ, я пришел к вам на поклон - сколько денег хотите?
АС
Мне называть конкурентов лояльность раболтодателю не позволяет :)
Можно по секрету? :)
DK
Можно по секрету? :)
Ну, например идея с описанием сценария в виде матрицы техник и тактик принадлежит Волкову :)
N
Ну, например идея с описанием сценария в виде матрицы техник и тактик принадлежит Волкову :)
эээ, вроде MITRE ж была
DK
эээ, вроде MITRE ж была
Идея рисунка 7 в методике моделирования. До того пытались требовать рисовать полный граф атак, но это действительно нереально
DK
да я цену просил. Вот я больница, мне нужно 3 МУ, я пришел к вам на поклон - сколько денег хотите?
Для меня цена - это человекочасы. Стоимость человекочаса у каждого исполнителя своя