AC
Dmitry Darensky
проблема в том лишь что этого исторически никто не делает...
скажк по другому - делают так, как должно быть :)
Size: a a a
2020 April 28
DD
потмоу что ибэшники в стороне. производственники и проектаныт не умеют.
AC
Dmitry Darensky
потмоу что ибэшники в стороне. производственники и проектаныт не умеют.
ТБ или ИБ?
DD
ИБ..
MS
Dmitry Darensky
проблема в том лишь что этого исторически никто не делает...
Вот не согласна. Мы всегда счтали, а? например
MS
есть то, кто не берет обсурование или систему без рассчета надежности
AC
Dmitry Darensky
ИБ..
ИБ нет, а ТБ - да. Проектанты считают хорошо, рука набита
DD
я не видел проектов по АСУ ТП где раздел по ИБ хоть как-то был привязан к реальности... к 187 фз- да, к политикам иб компании если они есть - да. к конкретным рискам - неа, не видел
DD
причем доказуемо привязан.
A
По поводу статистического риска - я думаю это тупиковая ветвь. мне как то трудно представить 3 тома по статистике "взламываемости".
Статистика, когда она объективная, очень классная вещь для анализа рисков. Но адекватной статистики по асу тп нет. Массовые заражения... по ним может появится статистика. По целевым атакам на асу тп едва ли. Поэтому, мое мнение, модели сейчас наиболее рабочий вариант.
Можно еще качественную оценку делать. Но ее плохо восприинимают. Последствия серьезные, вероятность низкая. Ну и что делать?)
Можно еще качественную оценку делать. Но ее плохо восприинимают. Последствия серьезные, вероятность низкая. Ну и что делать?)
AC
Dmitry Darensky
я не видел проектов по АСУ ТП где раздел по ИБ хоть как-то был привязан к реальности... к 187 фз- да, к политикам иб компании если они есть - да. к конкретным рискам - неа, не видел
Проектант - это кто? Проектный институт или интегратор?
AC
для ясности... или как ляжет на данном пректе?
DD
обычно ограничиваются чем-то типа " нужен антивирус потому что шифровальщик может остановить техпроцесс" а с фига ли такое произойдёт. и произойдёт ли - вопрос...
AC
как я написал в зуме, даже по старой методике ФСТЭК используется экспертно-аналитический метод.Т.е. должен быть проведен опрос (анкетирование) трех разных групп специалистов и на этой базе должна разрабатываться модель угроз. В частности - актуальность угороз и их "вес"
AC
если люди не делают даже этого - мои им соболезнования
AC
я не говорю о более продвинутых методах
A
как я написал в зуме, даже по старой методике ФСТЭК используется экспертно-аналитический метод.Т.е. должен быть проведен опрос (анкетирование) трех разных групп специалистов и на этой базе должна разрабатываться модель угроз. В частности - актуальность угороз и их "вес"
Экспертная оценка в реальности практически не работает.... это хороший мезанизм, но его реализация всегда хромает)
AC
AC
не обязательно хромает - я такую оценку всегда могу сделать под то оборудование, которое собираюсь заложить :)
A
Ну да, все надежды на себя) еще бы руководство разделяло доверие