DD
Разумный подход довольно абстрактно категория. Обычно просят конкретную методику, а лечше пошаговую)
Size: a a a
2018 October 16
AS
Налицо Consequence-driven cyber-informed engineering (CCE)
AS
DD
Это конечно всё хорошо. Но есть пара моментов, которые не позволяют подобными методиками пользоваться предприятия.
DD
Первое, чтобы собрать килчейн, хотя бы один, надо знать уязвимости во всех системах, управляющих техпроцессом. Верно?
AS
Ты перепрыгнул к третьему этапу. В идеале да
AS
Первый, это как раз Хазоп и прочие данные об авариях. Я о нихговорил на последнем митапе
DD
Ты давно видел отчёты по аудиту (не ваши или наши, а типовые, которые десятками сейчас проводятся) в которых приводили хотя бы простой реестр уязвимостей тех компонентов асу тп которые стоят на предприятиях?
2018 October 17
DD
Я вот давно. Ни заказчики ни исполнители даже бду фстэк не проверяют, не говоря о всяких сетах.
AS
Не будут, птому что такое точное моделирование угроз никто не проводит, долго и ресурсоемко. Поэтому эжкспертным путем, пол, палец, потолок - ушерб 100500 :)
DD
Собственно ни о килчейн ни тем более о "митигации")) говорить не приходится.
AS
Потому что никто так изящно качественно не делал, а вот кто сделает будет красавчик
DD
Ну вот есть же более простой способ. Я помню вы как-то активничали по поводу оценки для КВО.
DD
Любой опо имеет расчёт ущербов.. Любой! Без этого объект нельзя ввести в эксплуатацию. Почему нельзя брать эти расчёты за отправную точку?
AS
Нужно, а точно у всех есть?
DD
Не понятно, лень что ли?)
AS
Листаю тут, смотрю можно ли его использвать как источник аварий