MD
Зачем сразу по шапке? Разве не логично вендору продукта отписать и спросить, ЧЯДНТ?
Size: a a a
2019 December 18
AC
Зачем сразу по шапке? Разве не логично вендору продукта отписать и спросить, ЧЯДНТ?
Так и делают. Потому, что ИБ пока нету. Как из него погибнут люди или произойдет серьезная авария, то кто в этом будет виноват?
MD
Так и делают. Потому, что ИБ пока нету. Как из него погибнут люди или произойдет серьезная авария, то кто в этом будет виноват?
Ответственное лицо по документам)
AC
Ответственное лицо по документам)
Вот именно. А если это происходит с АСУ ТП, то виноватыми могут быть и проектировщики, и монтажники, и интегратор(ы). Для ИБ я такого не видел.
AC
ИБ должна на себя брать часть ответсвенности по КИИ и это должно быть прописано в договоре. Это если по справедливости. Я участвовал в разборках когда на ДВ были претензии со стороны эксплуатации к контроллерам за "спорадические ложные срабатывания". Речь шла о "волчьем билете" производителю в энергетике РФ. Такие вот дела.
MD
Монтажников то за что? Они лишь рабочие, которые делают все согласно ТЗ от проектировщиков, интегратор ещё понимаю, но все зависит от того, что интегратор там делал. Похожую ситуацию можно придумать, Аля провели пентест, нашли уязвимости, сообщили сразу, потом в отчёте с рекомендациями по устранению, не успели за 3 дня закрыть и через дырку, описанную в отчёте их ломают. Кто виноват? Пентест команда, инсайдер или заказчик, который не исправил вовремя уязвимости в виду сферических в вакууме обстоятельств?
MD
Или вообще разработчик, который на аутсорсе пилил что либо для этой компании, в которой проводился пентест?
MD
Сложные ситуации, в которых нет единозначного ответа
v
Dmitry Darensky
да полно... одни хреново настроенные антивирусы сколько проблем эксплуатации уже доставили....а сколько ещё доставят....
не, я именно про останов производства по вине СЗИ..
AC
vadim.s.
не, я именно про останов производства по вине СЗИ..
Потери сырья были. Тему как-то замяли.
AC
Сложные ситуации, в которых нет единозначного ответа
В этом и проблема, что дальше пентеста для КИИ почти никто не смотрит.
AC
Монтажников было за что :) За Чагино...
MD
В этом и проблема, что дальше пентеста для КИИ почти никто не смотрит.
Сказано провести - провели. Выполнено? Выполнено.
MD
И смех, и грех
AC
Сказано провести - провели. Выполнено? Выполнено.
Пентест - это вообще чушь :) Это непонятная вещь с непонятными выводами. В серьезных проектах на пентест смотрят в самый последний момент
AC
Я не об этом говорю. Это всего лишь инструмент. Хотя и глупым пентестом можно завалить контроллер
MD
Имхо, пентест это лишь гарантия того, что ошибки не лежат на поверхности.
AC
Имхо, пентест это лишь гарантия того, что ошибки не лежат на поверхности.
Пентест - это рандом. Может покажет, а может и нет. И не совсем понятно что потом с этим всем делать. Т.е. найденную уязвимость в "офисе" вы закрыли обновлением чего-то, а в АСУ ТП? Как выводить, когда выводить? Проект для этого нужен или не нужен? Можно накатывать обновления или нет?
AC
Полезен только регулярный пентест, как часть системы ИБ
MD
Пентест - это рандом. Может покажет, а может и нет. И не совсем понятно что потом с этим всем делать. Т.е. найденную уязвимость в "офисе" вы закрыли обновлением чего-то, а в АСУ ТП? Как выводить, когда выводить? Проект для этого нужен или не нужен? Можно накатывать обновления или нет?
Абсолютно согласен с вашим мнением! Когда обновлять? Когда плсихи крутятся и идёт тех процесс? А резерв имеется? Нет? Ну тогда так и будет работать, ибо останавливать - нельзя