Comments 9
SOC != SIEM + специалисты
Зрелый SOC также должен реагировать на инциденты. С помощью SIEM и голыми руками сотрудников это не сделать.
Зрелый SOC также должен реагировать на инциденты. С помощью SIEM и голыми руками сотрудников это не сделать.
При желании ФСБ может докопаться (законнно докопаться!!!) до практически любой мелкой <неугодной> компании?
Своим — все. Врагам — закон.
Верно понял основной смысл статьи?
Своим — все. Врагам — закон.
Верно понял основной смысл статьи?
Посмотрим… Пока что все эти «реальные кейсы» удобны всяким интеграторам ИБ, чтобы под шумок получить свою копеечку. Из разработки «бумаги» на соответствие 152-ФЗ скорее всего уже все соки высосаны.
Вот здесь недавно писали что из «бумаги» в общем-то неплохо так соки еще сосут, правда приходится прибегать уже к не совсем этичным техникам.
А ваш скепсис по поводу кейса абсолютно не понятен. Особенно учитывая, что вы сам архитектор ИБ судя по профилю. Вы думаете это страшилка, что можно словить ботнет с которого потом будут атаковаться важные объекты? Мы, к сожалению, не договорились с потерпевшим о возможности выложить скан предписания и их в целом можно понять. Смысл ссылки на такой кейс заключается в нашем опыте того, что почему-то до сих пор ответственные лица многих даже крупных, даже государственных организаций считают, что «инцидент ИБ» это когда поймали шифровальщик и другие случаи, когда невозможно продолжать работу, а когда в их системе закрепился троян, но никак себя не выдает это «ок» и никто не узнает и регулятор по шапке на надает. Так вот — оказывается, что узнает и по шапке надает. Информация к сведению. Вы можете не верить, но я убежден, что таким опытом безопасникам делиться нужно.
Ну и в этом случае, хоть регулятор и ссылался на отмененные постановления правительства, как оказалось, среагировали не зря. У потерпевшей организации, не то что сертифицированного, даже бесплатного антивируса не было, даже встроенный Windows Defender был отключен и не обновлялся. Вы как архитектор ИБ считаете это нормальным?
А ваш скепсис по поводу кейса абсолютно не понятен. Особенно учитывая, что вы сам архитектор ИБ судя по профилю. Вы думаете это страшилка, что можно словить ботнет с которого потом будут атаковаться важные объекты? Мы, к сожалению, не договорились с потерпевшим о возможности выложить скан предписания и их в целом можно понять. Смысл ссылки на такой кейс заключается в нашем опыте того, что почему-то до сих пор ответственные лица многих даже крупных, даже государственных организаций считают, что «инцидент ИБ» это когда поймали шифровальщик и другие случаи, когда невозможно продолжать работу, а когда в их системе закрепился троян, но никак себя не выдает это «ок» и никто не узнает и регулятор по шапке на надает. Так вот — оказывается, что узнает и по шапке надает. Информация к сведению. Вы можете не верить, но я убежден, что таким опытом безопасникам делиться нужно.
Ну и в этом случае, хоть регулятор и ссылался на отмененные постановления правительства, как оказалось, среагировали не зря. У потерпевшей организации, не то что сертифицированного, даже бесплатного антивируса не было, даже встроенный Windows Defender был отключен и не обновлялся. Вы как архитектор ИБ считаете это нормальным?
Как архитектор ИБ я это не считаю нормальным.
Однако в данном конкретном случае не понятно, кто принял на себя риски (нет антивируса и т.п.). Это руководство приняло риски не выделив средств или безопасники не донесли до руководства проблему? А может быть проблема вообще совсем не в рисках, а банально в организации нет квалифицированных кадров? Мало конкретики.
Однако в данном конкретном случае не понятно, кто принял на себя риски (нет антивируса и т.п.). Это руководство приняло риски не выделив средств или безопасники не донесли до руководства проблему? А может быть проблема вообще совсем не в рисках, а банально в организации нет квалифицированных кадров? Мало конкретики.
Да в общем-то там было всё, что вы перечислили. И кадров нет и доводить руководству некому. Руководство тоже не в теме ИБ, поэтому о рисках даже не думали. Сеть делал одноразовый подрядчик — работает и ладно!
К сожалению, это реальность, в которой по большей части мы тут работаем.
Если бы проблема была в чем-то одном из вами перечисленного это было бы слишком круто для нашей деревни =)
К сожалению, это реальность, в которой по большей части мы тут работаем.
Если бы проблема была в чем-то одном из вами перечисленного это было бы слишком круто для нашей деревни =)
Верно понял основной смысл статьи?
Нет, не верно. Основной смысл, что требование уже было но не для всех, а теперь вроде как для всех, но как будут реагировать регуляторы — посмотрим. Может и никак. У нас, кстати планируется публикация об одном требовании ФСБ, которому уже минимум 12 лет, но на которое всем пофигу, в том числе самим ФСБ.
Что касается «докопаться», то ФСБ конечно может, но их претензии тоже нужно внимательно читать и анализировать. На самом деле в том действительно реальном кейсе, которое почему-то другой комментатор берет в кавычки, ФСБ ссылается на утратившее силу постановление правительства, что вполне себе можно использовать в мотивированном ответе на предписание. Так что с регуляторами спорить можно и нужно, тем более они не редко бывают не правы, а требования бывают не обоснованы.
А без антивируса (угу сертифицированного
...) Нельзя никак… Ну вот Эксель в ноуте ноут в сейфе, wifi отключен… Ну так в порядке бреда.…
Законы пишут думая о банках/крупных компаниях и т.п., а проблемы они часто создают тем про кого "писатели" даже и не думали (возможно не все)
Sign up to leave a comment.
Теперь каждую ИСПДн нужно подключать к SOC?