Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности
Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности
Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >
| Автор: oko | 110266 | 12.08.2022 10:44 |
|
to Константин
Ну, в самой Методике нигде явно не сказано. Зато в том же 17 Приказе есть п. 14.3 касательно моделирования... В свою очередь, по Методике для определения "способов" (читай, для выявления потенциально возможных УБИ) и "сценариев" (читай, для актуализации УБИ) нужно в том числе опираться на результаты анализа уязвимостей... Впрочем, по Приказам ФСТЭК для большинства ОИ (кроме ИСПДн, на которые все забили - впрочем, сейчас мы наблюдаем "второе дыхание") также нужно проводить анализ уязвимостей. Косяк в том, что это предусматривается в явном виде ПОСЛЕ моделирования, что несколько противоречит Методике и логике (как обычно, ага)... imho, обязательно вставить в Модель подраздел с описанием известных уязвимостей хотя бы из БДУ по основному используемому ОПО и ППО, а потом провести оценку УБИ в том числе с учетом рассмотренных уязвимостей - решение, которым не следует пренебрегать... |
|
| Автор: oko | 110267 | 12.08.2022 10:50 |
|
*в сторону*
И да, лепить тот же 17 Приказ или иные Приказы о требованиях к ОИ в Модель в качестве НМД или стандарта для моделирования - это за гранью добра и зла... Джентельменский набор: Методика-2021 ФСТЭК; Методика-2015 ФСБ (если есть СКЗИ и Модель не будут под микроскопом изучать в 8 Центре); разные ГОСТ по используемым определениям и сокращениям; совокупность ФЗ и подзаконных актов, если цели, задачи или особенности ОИ их затрагивают... И оставьте уже в покое Базовую Модель - дайте ей спокойно кануть в лету, ага... |
|
| Автор: Константин | 110268 | 12.08.2022 11:03 |
|
2 oko Благодарю!
|
|
| Автор: CM | 110269 | 12.08.2022 11:41 |
|
to Константин:
> Я ни в коем случае не пытаюсь докопаться, но где в Методике оценки угроз 2021 написано про то, что в МУ должны быть отражены уязвимости используемого ПО и его характеристики ? Мы же всё опираемся на пункты методики при составлении МУ, вы ранее отвечая на мои вопросы тоже при ответе ссылались на пункты методики. Чем определена обязанность отражать в Модели угроз сами уязвимости используемого ПО и его характеристики? В действующей редакции Методики такого не встречал. |
|
| Автор: Константин | 110270 | 12.08.2022 12:09 |
|
2 CM Спасибо
|
|
| Автор: Константин | 110278 | 16.08.2022 12:26 |
|
Подскажите, пожалуйста, нужно ли сейчас ставить штампы согласования ФСТЭК и ФСБ на титульном листе ТЗ, на подсистему защиты ГИС ?
С МУ вроде ясно, что делать надо, как в методике, только штамп утверждения органиом исполнительной власти. |
|
| Автор: CM | 110279 | 16.08.2022 12:37 |
|
to Константин:
Согласование ТЗ и Моделей угроз с ФСТЭК и ФСБ подтверждалось ответным письмом, а не штампом на документах. Поэтому делать отдельный штамп для ФСТЭК и ФСБ избыточно. Вероятнее всего он использоваться этими ведомствами не будет. В дальнейшем, когда надо будет указать "реквизиты" согласования ТЗ и Модели угроз указывают реквизиты письма (исходящий номер и дата), которым было получен ответ о согласовании документов в ведомстве. |
|
| Автор: Константин | 110280 | 16.08.2022 13:35 |
|
2 CM Большое спасибо!
|
|
| Автор: Константин | 110288 | 18.08.2022 15:27 |
|
ТЗ и МУ в ФСБ, как и раньше, отправляются на руководителя 8 центра А.М. Ивашко?
|
|
| Автор: CM | 110289 | 18.08.2022 17:35 |
|
to Константин
Да. Всегда отправляли на адрес 8 Центра. |
|
Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >
Просмотров темы: 10067
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"