Это утверждение из серии "ну, в Европах-то люди поумнее нас" я даже комментировать не буду)))

Не понимаю всё-таки в чем вопрос ) Как тут можно сделать вывод о том, что HSE риски ничем не отличаются? Не отличается в целом подход же ..

Риски экономической безопасности теперь тоже не отличаются, если мы там риск-ориентированный подход будем применять?

Еще раз. Цитата из статьи "приведенный краткий обзор международных нормативно-технических документов позволяет утверждать, что методическая база для оценки HSEрисков с учетом оценки рисков кибербезопасности сформировалась." - нет, не позволяет. Нет этой методической базы, и это большая проблема. И не только у нас. 62443-3-2 методической базой считаться не может, так как не устанавливает связь между упомянутым типом рисков и рисками кибербезопасности, которые могу оцениваться по 27005-подобным подходам.

Если будете считать их по методике, определенной в 27005 (надеюсь что нет), то тоже сделаете их неразличимыми. Я рада, что Вы начали понимать суть проблемы.

Метод оценки рисков должен быть привязан к типу риска, точнее к типу безопасности или другого аспекта, для которого риск определен

Катя, там не только 62443 упоминается, а еще ISA TR84.00.09 и уже потом об этой совокупности делается вывод

Так я об этом и говорю .. что не надо путать конкретные методики оценки и подходы к оценке )

Повторю еще раз - речь о том, что сформирован определенный подход, в рамках которого уже будут развиваться конкретные практические методики. Сейчас они, конечно, в начале своего развития.

Дал повод думать, что путаешь, когда сослался на 62443. Другие отсылки там тоже не в кассу.

Нет, не сформирован, и я про это написала 3 раза, и больше писать не буду))) Будем работать над этим.

По началу у всех предприятии должно быть та самая матрица риска HSE. По ней определяется тот толерэйбэл риск который подходит исходя из предмета области занятости субъекта. По 62443-3-2 предлагается мапирование этой HSE матрицы на вероятности и последствия который могут произойти при исполнения того или иного сценария угроз. Но, надо, с начала определиться по ландшафту угроз (threats landscape assessment) и вероятности их  выполнения атакерами. И это при наличии оценки уязвимостей который войдут при расчёте остаточного риска, который, в конечном итоге будет сравнен с толерэйбл риском и субъект сам определит для себя исходя из его полиси принять его или нет. Это все можно изложить как рекомендации для qualitative - ног подхода (ex.SL-T vs SL-A, итд), или же quantitative - в образе тех же рекомендации но с учетом CRRF - cyber Risk Reduction Factor итд. Методологии есть и ими уже пользуются. Главное клиенту определиться что он хочет. 🙂

Это хороший метод, один вопрос - в версии 62443-3-2 2020 первые этапы детализированы?

Всем привет. Только увидел переписку. Эта фраза относится к существующим и описанным в указанных документах подходах. С практической точки зрения они применяются о чем написал Alex Вообще речь шла о совместном применении нескольких подходов, описанного в стандарте и в примерах, приведенных ниже в статье.То, что Ekaterina  видит варианты развития это здорово. При этом опровергать, что есть методики, которые можно эффективно совместноприменять странно. При этом нигде не утверждалось, что текущий уровень оптимален.

Володя, привет. Я анализирую ровно то, что читаю. Позволю себе не цитировать еще раз статью, будем считать, что она чересчур оптимистична или опередила свое время.

🤷‍♀️

Там почти ничего не детализировнно. Просто указаны шаги/этапы ссылки и рекомендации.

О том и речь. Что есть общая структура. А дальше творчество )

Да. По этому субъекту cookbook не уместен 🙂

Я же говорю, риторика неправильная. Говорить что в Европах молодцы, а у нас отсутствует методическая база - ну такое. Ни в Европах, ни где-то еще ее пока нет. Все занимаются творчеством. В рамках нашей нормативки, кстати, такой подход тоже можно обосновать, было бы желание.