Jump to content

Правилата за минималните изисквания за сигурност на обществените ЕСМ


Recommended Posts

Ново 20 ...

  • Haha 1

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

Мда, на нас проверка ще ни правят. Като гледам ще е разпъване на лукуми ала дипломна работа.

Link to comment
Share on other sites

Може би да го искат в новия отчет - още не съм го преглеждал :)

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

  • 3 weeks later...

Аз съм експерт то тези 8 области на сигурност, може да ме питате всичко.

 

В продължението на легалната консултация записана по-долу възникват и решения на политическата ситуация ако имате интерес мога да ги споделя. Технологични са, изпозлват криптографски технологии (на които също съм експерт) но не казвайте на никой. 🥷

 

На базата на предоставения документ, изглежда правителството изисква следното от бизнеса:

1. Да прилага редица мерки за сигурност и управление на риска, групирани в 8 области на сигурност - управление на сигурността, управление на човешките ресурси, сигурност на системите и съоръженията, управление на оперативната сигурност, управление на инциденти, управление на непрекъсваемостта, мониторинг и тестване, и информираност за заплахи.

2. Да докладва за инциденти, които отговарят на определени количествени критерии по отношение на брой засегнати потребители и продължителност на инцидента.

3. Да попълва формуляр за докладване на инциденти с подробна информация относно инцидента.

Документът изисква по-голям фокус върху сигурността и изисква прозрачност при инциденти, което от една страна е логично и оправдано. От друга страна, някои детайли могат да се сметнат за част от търговската тайна и конкурентно предимство на компаниите. Трябва да се намери баланс, за да не се наруши поверителността.

Например, детайлното описание на технологията, която е засегната, може да покаже уязвими места и слабости, и ако бъде публично оповестено, конкурентите биха могли да се възползват. Рисковете трябва да се вземат предвид при изискването за толкова детайлна информация от бизнеса.

Като цяло, изглежда изискванията не са изцяло необосновани или прекомерни, но някои аспекти трябва да се подходят внимателно, за да не се застраши конкурентното предимство на компаниите от сектора.

 

Според мен основната цел на правителството и бизнеса за воденето на тази статистика за инцидентите свързани с киберсигурността е:

1. Подобряване на общата киберсигурност и намаляване на риска от инциденти. Като се води статистика за инцидентите и се анализират тенденциите, могат да се определят областите с най-голям риск и да се предприемат целенасочени мерки там.

2. Подобряване на прозрачността и отчетността. Като се докладват инцидентите пред регулатор, компаниите стават по-отчетни за своите действия и подобряват процесите си.

3. Подобряване на доверието на потребителите. Като виждат, че компаниите и правителството приемат сериозни мерки по киберсигурността и прозрачност, потребителите ще имат по-голямо доверие.

4. Координация между правителство и бизнес при реагиране на инциденти. Като има обмен на информация, е възможно по-добро координиране на мерките за реагиране при големи инциденти.

Така че като обобщение - общата цел е подобряване на киберсигурността в целия сектор и засилване на сътрудничеството между правителство и бизнес за постигането на тази цел.

Хипотетично, ако има недобросъвестни участници в правителството, които искат да се възползват за собствена изгода от информацията за киберсигурността, е възможно да злоупотребят по следните начини:

1. Предоставяне на вътрешна информация на свързани бизнеси - ако имат връзки с определени телеком компании или доставчици на киберсигурност, може да им предоставят поверителни данни за уязвимостите и заплахите на конкурентите.

2. Саботиране на конкретни играчи на пазара - ако имат лични или политически мотиви срещу даден бизнес, могат целенасочено да не предоставят данни за заплахи или уязвимости на този играч, за да го ощетят.

3. Манипулиране на обществени поръчки - могат да подготвят изискванията за киберсигурност на обществени поръчки така, че да дадат предимство на определени доставчици, с които имат свързаност.

4. Политическо дискредитиране - информацията за кибер инциденти може да бъде използвана, за да се атакуват политически опоненти и да се поставят под въпрос способностите им да управляват сигурно критична инфраструктура.

Разбира се, това са само хипотетични сценарии. Но ясно е, че трябва да има много силни предпазни мерки срещу подобни злоупотреби и конфликт на интереси от недобросъвестни представители на институциите.

Edited by NetworkPro
Link to comment
Share on other sites

временна техника студен резерв е добър начин за покриване на някои рискове при отпадане

сега има и повече и по евтина техника която може да се пуска с автоматично превключване при отпадане

Ако имате рискове - нямате проблеми, ще ви съдействам да си ги покривате.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.