Контакты
Подписка
МЕНЮ
Контакты
Подписка

Модель угроз. Методика определения угроз безопасности. - Форум по вопросам информационной безопасности

Модель угроз. Методика определения угроз безопасности. - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 >

Автор: sekira | 108009 19.03.2020 13:05
Немножко конкретизирую...

4.Сведения об угрозах безопасности информации и уязвимостях программного обеспечения, содержащиеся в Банке данных угроз безопасности информации, не являются исчерпывающими и могут быть дополнены по результатам анализа угроз безопасности информации и уязвимостей в конкретной информационной (автоматизированной) системе с учетом особенностей ее эксплуатации.

14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).

Я про то что банка угроз мало... про то что взяли скопировали банк и вот вам модель...как обычно и делают сейчас... многие.

Автор: WORM, MK | 108012 19.03.2020 13:20
"банка угроз мало..."

Это да. То, что в БДУ - это обязательный минимум (пока для ГИС и ЗОКИИ, в будущем - для всех ИС, кроме ГТ). Больше - пожалуйста.

Автор: sekira | 108013 19.03.2020 14:28
"это обязательный минимум"
к рассмотрению как начальный список, не к обязательному исполнению в модели.

Автор: WORM, MK | 108014 19.03.2020 14:55
sekira
" В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России " (Приказ 17, п.14.3.).

А уж как это трактовать - ваше дело. В большинстве случаев представители ФСТЭК говорят, что весь БДУ нужно анализировать, чтобы чего-то не упустить. В любом случае, нужно обосновывать, почему та или иная угроза не рассматривалась.
Прошла пара недель

Автор: Север | 108042 08.04.2020 12:24
В мае 2019 согласовали с ФСТЭК Модель угроз. В согласованной Модели использовался актуальный на тот момент Банк угроз ФСТЭК. С тех пор Банк угроз увеличился и надо "отрабатывать" новые угрозы. Можно ли сделать и утвердить отдельный документ по внесению дополнений/изменений в существующую Модель, если остальной в ней принципиально не меняется? И надо ли этот дополнительный документ согласовывать с ФСТЭК? В идеале, как подозреваем, согласовывать не надо.

Автор: oko | 108045 08.04.2020 19:53
to Север
См. п. 18.2 Приказа №17 ФСТЭК России. Или аналогично приказа, по линии которого вы проводили мероприятия по защите информации и разработку ЧМУ соответственно...
Со ФСТЭК стоит согласовывать моменты кардинальных изменений (например, действительно появились новые угрозы и пришлось радикально переделать систему защиты). В остальном, особенно, если новые угрозы из БДУ к вам не применимы или успешно нейтрализованы, достаточно Акта по форме вашей ЧМУ, в котором фиксируются сами угрозы и существующие меры их нейтрализации. Это можно делать при каждом обновлении информации в БДУ, а можно и при периодическом контроле - частоту определяет владелец/оператор системы...

Автор: WORM, MK | 108054 10.04.2020 16:05
Коллеги,

на сайте ФСТЭК наконец-то выложен проект новой методики моделирования. Читаем, наслаждаемся...
Мы будем жить теперь по-новому.

https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/2070-metodicheskij-dokument

Автор: oko | 108058 11.04.2020 00:16
to WORM
Вы не в курсе, предложения ГНИИ ПТЗИ принимает или как обычно?
Так-то документ весьма себе (в сравнении с особенно, ага). Хотя пару моментов, imho, требуют доработки напильником...

Автор: WORM, MK | 108059 11.04.2020 10:18
to oko
В ГНИИИ писать бесполезно: авторы не они, а все экспертизы-обсуждения делала сама ФСТЭК.
Так что писать лучше прямо во ФСТЭК, причем не откладывая: сроки очень сжатые (точнее, они уже прошли) и проект скоро будут утверждать.
Пишите кратко и по делу, вдруг успеете.
Попытка не пытка, как говорил тов. Берия.

Автор: Alex_kl | 108061 13.04.2020 09:08
to WORM, MK

Ну почему поздно, судя по информационному сообщению ФСТЭК:

ФСТЭК России предлагает специалистам в области информационной безопасности заинтересованных органов государственной власти, субъектов критической информационной инфраструктуры и организаций рассмотреть проект методического документа и направить предложения по указанному документу в соответствии с прилагаемой формой на адрес электронной почты otd22@fstec.ru.

Предложения и замечания по проекту методического документа принимаются до 30 апреля 2020 г.


Страницы: < 1 2 3 >

Просмотров темы: 2868

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*