YG
Сделать «красивую статистику» в пользу проекта или наоборот не сложно. Но нужно другое.
Size: a a a
2020 June 08
AN
Яков, тут только от реальной оранизации ( А то будет средняя температура по больнице (
YG
Боюсь на реальной организации посчитать возможности нет. Поэтому и хотелось в начале проекта привязаться к существующим цифрам
YG
Хотя бы как у автора из присланной мной статьи
YG
Но я не уверен что его цифры не взяты с потолка
AN
Можно попробовать позвать в гость IdM продовцов или интеграторов. Они с радостью посчитают и приведут примеры. Результаты можно поделить на 3 и будет похоже
YG
С ними все также неоднозначно. Буду еще рыть в интернете.
N
Но я не уверен что его цифры не взяты с потолка
В статье есть обоснование этих цифр и мат модель? Нет. Этого нет в сети и чатах. ИБ тема вообще закрытая - мало кто хочет делиться своими инцидентами, у мноних нет уровня зрелости достаточного для их анализа и ведения аналитики. А вы еще и мат модель для расчета реальных показателей снижения вероятностей хотите.
Например у вас в компании осуществляется оценка рисков ИБ количественная, с обоснованной оценкой вероятности? Думаю что нет, потому что она если и есть, то прям совсем у единиц. А вы хотите аналитику по ней
Например у вас в компании осуществляется оценка рисков ИБ количественная, с обоснованной оценкой вероятности? Думаю что нет, потому что она если и есть, то прям совсем у единиц. А вы хотите аналитику по ней
YG
Тем не менее, попробовать задать вопрос стоило.
S
Для большинства компаний в госсекторе - СКЗИ - это средства шифрования и электронной подписи с российскими алгоритмами. Если они не поддерживаются, то этот термин обычно не применяют. Далее, если средство реализует российские стандарты шифрования, оно обязательно должно быть сертифицировано ФСБ.
Но есть и исключения))
ОК
Добрый вечер!
Хочу спросить, можно ли где-то найти гайд по обучению кибербезу? Какая-то карта (или план) обучения , чтобы можно было понять какие скилы нужны и как дальше развиваться?
Хочу спросить, можно ли где-то найти гайд по обучению кибербезу? Какая-то карта (или план) обучения , чтобы можно было понять какие скилы нужны и как дальше развиваться?
S
Я могу ошибаться но у вас должен быть оценена угроза(ы). По ней у вас появляется риск (определяется вероятность и значимость). Дальше вы риском управляете путем использования IdM. После внедрения вероятность и/или значимость снижается. Это снижение очень индивидуально в разных компаниях
С качествннной оценкой еще можно как-то согласится, общепринятых количественных оценок можно сказать, что не существует
S
Олег К
Добрый вечер!
Хочу спросить, можно ли где-то найти гайд по обучению кибербезу? Какая-то карта (или план) обучения , чтобы можно было понять какие скилы нужны и как дальше развиваться?
Хочу спросить, можно ли где-то найти гайд по обучению кибербезу? Какая-то карта (или план) обучения , чтобы можно было понять какие скилы нужны и как дальше развиваться?
А что такое в вашем понимании кибербез?
AK
Могу переформулировать в более общем виде: есть ли в доступности статистические показатели как внедрение IDM в компании снижает риски ИБ
IDM сам по себе не снижает ничего, без работающих процессов он бесполезен. Если у вас есть процессы, которые можно автоматизировать этим IDM, то можно посчитать сколько вы сэкономите на автоматизации, если сэкономите.
ОК
А что такое в вашем понимании кибербез?
Обеспечение безопасности предприятия + пентест + разработка доков.
KM
KM
от этого можно оттолкнуться
S
Олег К
Обеспечение безопасности предприятия + пентест + разработка доков.
Ни разу в жизни не видел спецов по пен-тесту и по докам в одном лице.
Желаете заполнить нишу?
Желаете заполнить нишу?
ОК
Ни разу в жизни не видел спецов по пен-тесту и по докам в одном лице.
Желаете заполнить нишу?
Желаете заполнить нишу?
Прилетало пару задач, бюджет не резиновый. Необходимо как минимум понять на какой точке я сейчас и что дальше
S
Олег К
Прилетало пару задач, бюджет не резиновый. Необходимо как минимум понять на какой точке я сейчас и что дальше
Ну, если пара задач, это актуализация имеющейся нормативки и проведение пен-теста, то с нормативкой можно попытаться справиться посмотрев имеющуюся в яндексе, свою и позадовать вопросы в чатах. А провести нормальный пен-тест без достаточно длительной подготовки и спец тренингов/практики, практически без вариантов. Хотя, посканить хосты нессусом, распечатать отчет, и выдать его за рез-ты пен-теста, не самая экзотическая практика.