AC
Dmitry Darensky
Я не про бумагу а реальную безопасность.
Если не нужно строить модель угроз и т.п., то вообще ничего не мешает
Size: a a a
2020 October 01
AC
Т.е. не нужно оформлять эти документы
DD
Marina S
А зачем, если рынок РФ и нормативка РФ?
Рынок РФ ограничен объёмами и деньгами. Но речь опять же не про освоение бюджетов а про работающие решения и практическую безопасность.
DD
Если не нужно строить модель угроз и т.п., то вообще ничего не мешает
Но ведь не делает никто, верно?
AS
Dmitry Darensky
Коллегия вот вопрос есть. А что собственно мешает параллельно рекомендациям отечественных регуляторов реализовывать системы-процессы-контроли ориентируясь на международные практики?
Перефразирую Диму.
Почему российские предприятия не стремятся использовать международные лучшие практики и соответствовать им?
Почему российские предприятия не стремятся использовать международные лучшие практики и соответствовать им?
MS
Любые процессы-проверки-контроли - это серьезные ресурсы.
М
Marina S
Так вопрос в том, что нет такого органа и организовать его не очень просто, потому что эта деятельность - это защита информации, что регулирует соответственно ФСТЭК России
Что сложно организовать новый - это да. То что Фстэк регулирует вопрос сертификации по iec 62443 - это спорно ( см . Фз об обязательных требованиях). Сертифицироваться в РФ по стандарту можно, главное чтобы заказчик воспринял этот сертификат и был спрос на такие работы
AC
Dmitry Darensky
Но ведь не делает никто, верно?
От людей зависит, это да
AC
Перефразирую Диму.
Почему российские предприятия не стремятся использовать международные лучшие практики и соответствовать им?
Почему российские предприятия не стремятся использовать международные лучшие практики и соответствовать им?
Потому, что ИБ из под палки никому не нужно :))
MS
Перефразирую Диму.
Почему российские предприятия не стремятся использовать международные лучшие практики и соответствовать им?
Почему российские предприятия не стремятся использовать международные лучшие практики и соответствовать им?
Потому что надо иметь своих экспертов, это ресурсы.
DD
Marina S
Любые процессы-проверки-контроли - это серьезные ресурсы.
То есть чтоб на бумаге обеспечить комплаенс к местному регулированию нужно меньше ресурсов?) звучит не однозначно.
ZS
Dmitry Darensky
Привет ду пример. Казахстан. Помимо локальнойтнормативки они активно идут в проекты где ориентируется на международные или зарубежные отраслевые стандарты энергетики или Нефтегаза.
Большие клиенты в казахстане внедряют все вперёд регуляторов, нормативка догоняет только.
DD
Marina S
Потому что надо иметь своих экспертов, это ресурсы.
Проще говоря "оно надо вообще кому то?"))
AS
Zakir Supeyev
Большие клиенты в казахстане внедряют все вперёд регуляторов, нормативка догоняет только.
Зачем они это делают, если можно не делать? :)
DD
Zakir Supeyev
Большие клиенты в казахстане внедряют все вперёд регуляторов, нормативка догоняет только.
Но ведь у нас же не так.
М
Вечер перестаёт быть томным )
MS
Что сложно организовать новый - это да. То что Фстэк регулирует вопрос сертификации по iec 62443 - это спорно ( см . Фз об обязательных требованиях). Сертифицироваться в РФ по стандарту можно, главное чтобы заказчик воспринял этот сертификат и был спрос на такие работы
Я сказала, что 62443 - это по сути защита информации. Кто ее регулирует - ясно. Но у ФСТЭК своих документов хватает, при том некоторые в принципе пересекаются с 62443.
ZS
Зачем они это делают, если можно не делать? :)
Риск менеджмент зарубежного капитала))
AS
Zakir Supeyev
Риск менеджмент зарубежного капитала))
Вооот!
DD
Слушай, ну ежу понятно что иб всегда защищает чьи-то бабки. Точнее бабки техх кто за иб способен заплатить