Когда у тебя висит модернизация основной линии, перевод на удаленку 30% работников, лаги по логистики на 2-3 месяца, ИБ кажется вообще несущественным

ну тогда точно можно АСУ показать что если сценарий управления технологией выйдет из под контроля, то возможны простои и вывод из строя оборудования. Тк. все равно процесс любой будет останавливаться даже если есть физ защиты, то этот минимальный интервал в остановке процесса можно посчитать с технологами. Да и к тому же есть шанс выбросов (пусть прикинут риски штрафов, выплат). Я бы привязался к времени простоя, и выходу из строя оборудования- для начала. Если процесс в производстве будет испорчен или выйдет из под контроля, то это испорченное сырье, время простоя, замена оборудования.

Если это оксиморон), тогда можно называть любую цифру от нуля до бесконечности )). Вы пробовали рассчитать на практикие хоть раз или пока только в теории предполагаете?). Если да пример в студию пожалуста. Или рассчитайте для нас пожалуйста потенциальный ущерб исходя из следующих вводных. Кибератака на электрическую сеть города с населением 1М. Black Out в течениии 5 часов. Спасибо.

Что характерно, это не так уж и сложно в данном случае ;-) Нижняя граница - затраты на восстановление энергоснабжения. Средняя - потери от 5 часов отсутствия электричества, измеренные как сумма доходов города в течение 5 часов (упрощенно) и иски от пострадавших (можно пренебречь). Верхняя граница - недополученная прибыль за те же 5 часов. Проблема не в подсчете, а в том, чтобы с ним согласились те, кому этот расчет будет показываться

Все исходные данные обычно есть у городской администрации

Или МЧС. А вы\мы должны рассчитать  вероятность такой атаки

А вот вероятность посчитать нельзя. Тут только на доверии к оценщику все строится

Вот тож... Насколько я помню, все ущербы должны быть рассчитаны на стадии проектирования объекта, без этого его нельзя построить. Либо, как в энергетике, из этих рассчетов строятся схемы резервирования.

Т.е. у предприятия они должны быть и тут встает ещё один странный вопрос - зачем такой документацией делиться с ИБшниками? Проекты денег стоят... Тем более, если категорирование делает внешняя организация.

Все не так просто)) В том то и дело что этот простой расчет будет настолько приблизительным что  не будет  иметь никакого отношения к реальности так как не учтены десятки и сотни факторов как то возможные смерти людей из за остановок лифтов, светофоров , генераторов и т.д  плюс репутационные , политические и даже геополитические издержки. Это как попытка просчитать ушерб от Stuxnet или нового Sunburst).

Безопасники же предприятия.  То есть свои

Да, но есть нюансы :)

Так это у меня так написано. В реальной ситуации я запрошу данные по количеству предприятий и их доходах, количеству смертей, количество дтп из-за неисправных светофоров и т.п. В нашей стране так любят статистику, что все эти данные есть.

Но мы вам их просто так не дадим у вас документов нету...

Про категорирование. ФСТЭК не допускает привлечения к категорированию внешних организаций. 🤭

Даже если оставим категорирование, к модели угроз и расчету рисков это имеет аналогичное отношение. Чем меньше данных, тем меньше тратиться на средства. Обычная логика.

Привет братва!

Вы тут работаете я смотрю.

Давайте, а я пока связь стабилизирую