Автор: Константин | 109205 | 26.04.2021 17:07 |
На данный момент аттестовываю объект состоящий из одного автономного (не подключенным к сети интернет) АРМ можно сделать модель угроз по старым методикам?
|
Автор: sekira | 109208 | 27.04.2021 07:17 |
Методика...5 февраля 2021 г
1.8. Положения настоящей Методики применяются для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях. Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения настоящей Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей. В связи с утверждением настоящего методического документа не применяются для оценки угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) |
Автор: Александр, ФГБОУ ВО «Тульский государственный университет" | 109346 | 06.07.2021 17:23 |
По договору организация выполняет аттестацию рабочего места подключаемого к сети VPN в одной из информационных систем Минобрнауки. Модель угроз разрабатывает исполнитель. Вопрос - кто должен согласовывать модель угроз с ФСТЭК, заказчик или исполнитель и на основании какого регламентирующего документа?
|
Автор: WORM, МК | 109347 | 06.07.2021 21:28 |
Заказчик, т. е. орган власти. От исполнителя ФСТЭК МУ не рассматривает.
И в Постановлении 676 написано, что МУ и (или) ТЗ согласовывают органы исполнительной власти. |
Автор: oko | 109349 | 07.07.2021 00:47 |
*в сторону*
Формально, на основании п. 14 Приказа 17 ФСТЭК России Модель вообще должна разрабатываться Заказчиком в рамках определения первичных требований к ГИС, для которой он является владельцем или оператором. Исполнителя-то можно привлекать, но вот строго возлагать на него обязанность разработать Модель угроз - это как бэ нарушение оного приказа (читай, действующего законодательства). За что Заказчика - тем более ОИВ - можно и к стенке прижать при желании... Другое дело, что каждое первое ТЗ в стране как раз этого и требует от Исполнителя. Есть, конечно, исключения (см. ниже), но... to WORM Там же было инфописьмо за 2017 год, где ФСТЭК дополнительно сообщала, что "можно и от разработчика/интегратора ГИС на основании письменного запроса от владельца/оператора ГИС и в случае НИР или ОКР". Или я все проспал и правила изменились? |
Автор: Гость | 109351 | 07.07.2021 10:56 |
Для WORM, МК:
"...И в Постановлении 676 написано, что МУ и (или) ТЗ согласовывают органы исполнительной власти." В ПП 676 говорится, что ТЗ и (или) МУ согласуются _с_ федеральными органами исполнительной власти (с ФСТЭК и ФСБ). А кто именно занимается этим согласованием в постановлении ничего не сказано. |
Просмотров темы: 2157