AI
Sergey Pariev
Непорядок. Немедленно пронумеровать и прошить )
Пластилином всё
Size: a a a
2020 December 24
22
Если это оксиморон), тогда можно называть любую цифру от нуля до бесконечности )). Вы пробовали рассчитать на практикие хоть раз или пока только в теории предполагаете?). Если да пример в студию пожалуста. Или рассчитайте для нас пожалуйста потенциальный ущерб исходя из следующих вводных. Кибератака на электрическую сеть города с населением 1М. Black Out в течениии 5 часов. Спасибо.
Вот как оживился чат. А что удивительного то в том чтобы сделать ориентировочный просчет для себя же. Коллеги спрашивал, как можно заставить или убедить отделы которые не хотят ни чего менять. Мое мнение, что если на руках будет просчет хотя бы ориентировочный то проще разговаривать с руководителями. Понятно что есть много деталей при таком расчете (но это делается для себя), чтобы понять а есть ли смысл что то менять или нет. Когда будет понимание что у тебя н кол-во денег будет в убытке из-за инцидента, то можно уже сравнивать а стоит ли вкладывать в безопасность и что то менять (не проще будет ли согласиться с рисками и ни чего не делать). А по поводу отключения электричества, тут можно и это опять просчитать, но думаю и так все ясно что убытков будет больше чем трат на безопасность и вывод один это стоит защищать.
22
О том, что ибшник на местах заинтересован в минимальной категории, минимальных показаных рисках и т.д.? Вполне. И меня удивляет, что кого-то это удивляет :)
В этом заинтересованы все ) бизнес, чтобы денег меньше инвестировать, безопасники с показателями рисков. Опять таки мое мнение.
AI
О том, что ибшник на местах заинтересован в минимальной категории, минимальных показаных рисках и т.д.? Вполне. И меня удивляет, что кого-то это удивляет :)
Почему это?
AI
Мне казалось, что наоборот.. выше категория, больше бюджет, больше кадров, больше власть, меньше риска что спросят за занижение категории в случае чего..
22
Выше категория больше средств нужно затратить, больше проект. больше ответственность, больше требований )
AC
Бюджет не зависит от категории, а зависит от вашего отношения с руководстом. ЗП также не зависит от категории, совершенно.
AC
Коряво выразился насчет бюджета - если деньги у конторы есть и вы в хороших отношениях с начальством, то у вас будет сием при третьей категории. Если, нет - то и при второй его не дадут просто так. Война будет.
AI
Бюджет не зависит от категории, а зависит от вашего отношения с руководстом. ЗП также не зависит от категории, совершенно.
Одно дело антивирус админить, а другое - центр мониторинга, ids|ips, анализ защищенности периодически, idm, и т.д. И команда больше, и компетенции повышаются. А если ЗП не растёт, то придётся искать нового сотрудника через годик, а на рынке по этим требованиям стоимость специалиста будет космос.
AI
Коряво выразился насчет бюджета - если деньги у конторы есть и вы в хороших отношениях с начальством, то у вас будет сием при третьей категории. Если, нет - то и при второй его не дадут просто так. Война будет.
Ну это понятно
AI
тем не менее, я считаю, что категория должна соответствовать, и намеренно подгонять её именно безопаснику нет смысла
AC
Одно дело антивирус админить, а другое - центр мониторинга, ids|ips, анализ защищенности периодически, idm, и т.д. И команда больше, и компетенции повышаются. А если ЗП не растёт, то придётся искать нового сотрудника через годик, а на рынке по этим требованиям стоимость специалиста будет космос.
Это всё теория со стороны разработчиков :) Всегда и во все времена ИБшники на местах занижали всё, что получалось занизить. Именно об этом и говорят на курсах по организации безопасности (без приставки кибер- инфо- и т.д.)
AI
Это всё теория со стороны разработчиков :) Всегда и во все времена ИБшники на местах занижали всё, что получалось занизить. Именно об этом и говорят на курсах по организации безопасности (без приставки кибер- инфо- и т.д.)
ну вот.. ))))
AI
Или, как там.. "Ой, всё!" )))
AC
Или, как там.. "Ой, всё!" )))
👻
ДП
Но там есть обязательное требование к пограничным машрутизаторам. А так в общем, использовать именно сертифицированные средства защиты нет, если это не ГИС, что и прописано в 235 приказе п.18.
Тема сертификации средств защиты информации достаточно подробно освещена регулятором в выступлениях должностных лиц (конкретно, А. Кубарева). Если лень читать Приказ ФСТЭК России от 20 февраля 2020 г., вступивший в силу осенью (который вносит изменения в 235 приказ), рекомендую посетить ближайшую конференциию с участием регулятора. В двух словах - есть требование оценки соответствия, которое может быть в форме сертификации, испытаний или приёмки. При этом набор действий (сутевой) во всех трех случаях одинаков.
W
Такое ощущение , что вместо обсуждения технических вопросов безопасности АСУ ТП , группа скатилась в обсуждение бюрократического бреда и чепухи.
ДП
Такое ощущение , что вместо обсуждения технических вопросов безопасности АСУ ТП , группа скатилась в обсуждение бюрократического бреда и чепухи.
Вопрос относительно чего строить безопасность весьма философский. Наиболее простым подходом является выполнение заданных извне (регулятором) требований по безопасности. Есть и другой подход - строить безопасность относительно собственного понимания (опыт, лучшие практики и т. п.) Walker, где изложено Ваше понимание безопасности?
DD
Такое ощущение , что вместо обсуждения технических вопросов безопасности АСУ ТП , группа скатилась в обсуждение бюрократического бреда и чепухи.
невозможно говорить о технических аспектах безопасности и рисков не опираясь вообще ни на какую нормативно-техническую и методолгическую базу. но поддержу в том смысле что разговоров "только о море" стало на много больше. а это как минимум скучно)))
v
старый разговор что раньше - курица или яйцо) наверно инфоповодов больше в части регуляторки вот и все