разделяю ваш скептицизм про вероятность, но все же если за пример брать "заводы" (технологический сегмент), то приведу параллели с требованиями ФЗ - 116 "О промышленной безопасности" к опасным производственным объектам. Если верить оценкам риска аварий на ОПО , то в большинстве случаев они тоже стремятся к маленькому проценту (по крайней мере в тех расчетах, с которыми мне приходилось знакомиться), но при этом к требованиям промышленной безопасности относятся со всей серьезностью и строгостью
да и есть вопросы к тому, а по какой методике эта вероятность определяется и насколько объективна эта методика ? ну а если верить показателям что вероятность возникновения рисков стремится к нулю - а не от того ли, что выполняются элементарные требования безопасности, что промышленной, что информационной)
и полностью поддерживаю разумный подход в ИБ, что нужно выбирать только "оптимально необходимое". В принципе риторика ФЗ - 187 “О безопасности КИИ РФ” этому не противоречит (убирая за скобки тему импортозамещения), просто не нужно поддаваться красноречию и обаянию “продавцов страха”))
спасибо за оценку ! единственное хотел бы добавить что возможно я описал не все существующие концепции, и возможно неправильно применил алгоритм выбора и вполне вероятно что существует концепция, которая может в одиночку обеспечить должный уровень ИБ)
а так мое скромное мнение, что 239 приказ ФСТЭК охватывает требования 5 из 6 концепций, ставлю только под сомнение Air Gap, который оговаривается в неявном виде между строк
ну и в голове есть идея - прогноз, какая концепция ИБ появится в обозримом будущем с развитием технологий, которая в корне перевернет игру)) в планах есть идея написать статью про это
1) наличие у компании из нефтехимической промышленности сертификата ISO/IEC 27001 позволяла участвовать в международных проектах, торговле своей продукцией и заключению контрактов, суммы которых на порядок превышали траты на ИБ.
хорошая аналогия с рекламой на заборе))
2) на российском рынке ИБ есть продукты которые занимаются:
- предиктивным анализом
- выявлением аномалий в технологическом трафике
которые влияют на качество и объем выпускаемой продукции. Соответственно чем лучше качество и объем выпускаемой продукции, тем больше прибыль (не затрагивая тему спроса и ликвидности выпускаемого товара)
разделяю ваш скептицизм про вероятность, но все же если за пример брать "заводы" (технологический сегмент), то приведу параллели с требованиями ФЗ - 116 "О промышленной безопасности" к опасным производственным объектам. Если верить оценкам риска аварий на ОПО , то в большинстве случаев они тоже стремятся к маленькому проценту (по крайней мере в тех расчетах, с которыми мне приходилось знакомиться), но при этом к требованиям промышленной безопасности относятся со всей серьезностью и строгостью
да и есть вопросы к тому, а по какой методике эта вероятность определяется и насколько объективна эта методика ? ну а если верить показателям что вероятность возникновения рисков стремится к нулю - а не от того ли, что выполняются элементарные требования безопасности, что промышленной, что информационной)
и полностью поддерживаю разумный подход в ИБ, что нужно выбирать только "оптимально необходимое". В принципе риторика ФЗ - 187 “О безопасности КИИ РФ” этому не противоречит (убирая за скобки тему импортозамещения), просто не нужно поддаваться красноречию и обаянию “продавцов страха”))
спасибо за оценку ! единственное хотел бы добавить что возможно я описал не все существующие концепции, и возможно неправильно применил алгоритм выбора и вполне вероятно что существует концепция, которая может в одиночку обеспечить должный уровень ИБ)
а так мое скромное мнение, что 239 приказ ФСТЭК охватывает требования 5 из 6 концепций, ставлю только под сомнение Air Gap, который оговаривается в неявном виде между строк
ну и в голове есть идея - прогноз, какая концепция ИБ появится в обозримом будущем с развитием технологий, которая в корне перевернет игру)) в планах есть идея написать статью про это
вопрос дискуссионный))
из своего опыта:
1) наличие у компании из нефтехимической промышленности сертификата ISO/IEC 27001 позволяла участвовать в международных проектах, торговле своей продукцией и заключению контрактов, суммы которых на порядок превышали траты на ИБ.
хорошая аналогия с рекламой на заборе))
2) на российском рынке ИБ есть продукты которые занимаются:
- предиктивным анализом
- выявлением аномалий в технологическом трафике
которые влияют на качество и объем выпускаемой продукции. Соответственно чем лучше качество и объем выпускаемой продукции, тем больше прибыль (не затрагивая тему спроса и ликвидности выпускаемого товара)