Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новая методика моделирования угроз - Форум по вопросам информационной безопасности

Новая методика моделирования угроз - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Константин | 109205 26.04.2021 17:07
На данный момент аттестовываю объект состоящий из одного автономного (не подключенным к сети интернет) АРМ можно сделать модель угроз по старым методикам?

Автор: sekira | 109208 27.04.2021 07:17
Методика...5 февраля 2021 г
1.8. Положения настоящей Методики применяются для оценки угроз
безопасности информации в системах и сетях, решение о создании или
модернизации (развитии) которых принято после даты ее утверждения, а также
в эксплуатируемых системах и сетях.
Модели угроз безопасности информации систем и сетей, разработанные и
утвержденные до утверждения настоящей Методики, продолжают действовать
и подлежат изменению в соответствии с настоящей Методикой при развитии
(модернизации) соответствующих систем и сетей.
В связи с утверждением настоящего методического документа не
применяются для оценки угроз безопасности информации Методика
определения актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных (ФСТЭК России,
2008 г.)
Прошла пара месяцев

Автор: Александр, ФГБОУ ВО «Тульский государственный университет" | 109346 06.07.2021 17:23
По договору организация выполняет аттестацию рабочего места подключаемого к сети VPN в одной из информационных систем Минобрнауки. Модель угроз разрабатывает исполнитель. Вопрос - кто должен согласовывать модель угроз с ФСТЭК, заказчик или исполнитель и на основании какого регламентирующего документа?

Автор: WORM, МК | 109347 06.07.2021 21:28
Заказчик, т. е. орган власти. От исполнителя ФСТЭК МУ не рассматривает.
И в Постановлении 676 написано, что МУ и (или) ТЗ согласовывают органы исполнительной власти.

Автор: oko | 109349 07.07.2021 00:47
*в сторону*
Формально, на основании п. 14 Приказа 17 ФСТЭК России Модель вообще должна разрабатываться Заказчиком в рамках определения первичных требований к ГИС, для которой он является владельцем или оператором. Исполнителя-то можно привлекать, но вот строго возлагать на него обязанность разработать Модель угроз - это как бэ нарушение оного приказа (читай, действующего законодательства). За что Заказчика - тем более ОИВ - можно и к стенке прижать при желании...
Другое дело, что каждое первое ТЗ в стране как раз этого и требует от Исполнителя. Есть, конечно, исключения (см. ниже), но...

to WORM
Там же было инфописьмо за 2017 год, где ФСТЭК дополнительно сообщала, что "можно и от разработчика/интегратора ГИС на основании письменного запроса от владельца/оператора ГИС и в случае НИР или ОКР". Или я все проспал и правила изменились?

Автор: Гость | 109351 07.07.2021 10:56
Для WORM, МК:

"...И в Постановлении 676 написано, что МУ и (или) ТЗ согласовывают органы исполнительной власти."

В ПП 676 говорится, что ТЗ и (или) МУ согласуются _с_ федеральными органами исполнительной власти (с ФСТЭК и ФСБ). А кто именно занимается этим согласованием в постановлении ничего не сказано.

Просмотров темы: 2157

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*