Модель угроз. Методика определения угроз безопасности. - Форум по вопросам информационной безопасности
Модель угроз. Методика определения угроз безопасности. - Форум по вопросам информационной безопасности
| Автор: sekira | 108009 | 19.03.2020 13:05 |
|
Немножко конкретизирую...
4.Сведения об угрозах безопасности информации и уязвимостях программного обеспечения, содержащиеся в Банке данных угроз безопасности информации, не являются исчерпывающими и могут быть дополнены по результатам анализа угроз безопасности информации и уязвимостей в конкретной информационной (автоматизированной) системе с учетом особенностей ее эксплуатации. 14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru). Я про то что банка угроз мало... про то что взяли скопировали банк и вот вам модель...как обычно и делают сейчас... многие. |
|
| Автор: WORM, MK | 108012 | 19.03.2020 13:20 |
|
"банка угроз мало..."
Это да. То, что в БДУ - это обязательный минимум (пока для ГИС и ЗОКИИ, в будущем - для всех ИС, кроме ГТ). Больше - пожалуйста. |
|
| Автор: sekira | 108013 | 19.03.2020 14:28 |
|
"это обязательный минимум"
к рассмотрению как начальный список, не к обязательному исполнению в модели. |
|
| Автор: WORM, MK | 108014 | 19.03.2020 14:55 |
|
sekira
" В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России " (Приказ 17, п.14.3.). А уж как это трактовать - ваше дело. В большинстве случаев представители ФСТЭК говорят, что весь БДУ нужно анализировать, чтобы чего-то не упустить. В любом случае, нужно обосновывать, почему та или иная угроза не рассматривалась. |
|
Прошла пара недель
| Автор: Север | 108042 | 08.04.2020 12:24 |
|
В мае 2019 согласовали с ФСТЭК Модель угроз. В согласованной Модели использовался актуальный на тот момент Банк угроз ФСТЭК. С тех пор Банк угроз увеличился и надо "отрабатывать" новые угрозы. Можно ли сделать и утвердить отдельный документ по внесению дополнений/изменений в существующую Модель, если остальной в ней принципиально не меняется? И надо ли этот дополнительный документ согласовывать с ФСТЭК? В идеале, как подозреваем, согласовывать не надо.
|
|
| Автор: oko | 108045 | 08.04.2020 19:53 |
|
to Север
См. п. 18.2 Приказа №17 ФСТЭК России. Или аналогично приказа, по линии которого вы проводили мероприятия по защите информации и разработку ЧМУ соответственно... Со ФСТЭК стоит согласовывать моменты кардинальных изменений (например, действительно появились новые угрозы и пришлось радикально переделать систему защиты). В остальном, особенно, если новые угрозы из БДУ к вам не применимы или успешно нейтрализованы, достаточно Акта по форме вашей ЧМУ, в котором фиксируются сами угрозы и существующие меры их нейтрализации. Это можно делать при каждом обновлении информации в БДУ, а можно и при периодическом контроле - частоту определяет владелец/оператор системы... |
|
| Автор: WORM, MK | 108054 | 10.04.2020 16:05 |
|
Коллеги,
на сайте ФСТЭК наконец-то выложен проект новой методики моделирования. Читаем, наслаждаемся... Мы будем жить теперь по-новому. |
|
| Автор: oko | 108058 | 11.04.2020 00:16 |
|
to WORM
Вы не в курсе, предложения ГНИИ ПТЗИ принимает или как обычно? Так-то документ весьма себе (в сравнении с особенно, ага). Хотя пару моментов, imho, требуют доработки напильником... |
|
| Автор: WORM, MK | 108059 | 11.04.2020 10:18 |
|
to oko
В ГНИИИ писать бесполезно: авторы не они, а все экспертизы-обсуждения делала сама ФСТЭК. Так что писать лучше прямо во ФСТЭК, причем не откладывая: сроки очень сжатые (точнее, они уже прошли) и проект скоро будут утверждать. Пишите кратко и по делу, вдруг успеете. Попытка не пытка, как говорил тов. Берия. |
|
| Автор: Alex_kl | 108061 | 13.04.2020 09:08 |
|
to WORM, MK
Ну почему поздно, судя по информационному сообщению ФСТЭК: ФСТЭК России предлагает специалистам в области информационной безопасности заинтересованных органов государственной власти, субъектов критической информационной инфраструктуры и организаций рассмотреть проект методического документа и направить предложения по указанному документу в соответствии с прилагаемой формой на адрес электронной почты otd22@fstec.ru. Предложения и замечания по проекту методического документа принимаются до 30 апреля 2020 г. |
|
Страницы: < 1 2 3 >
Просмотров темы: 3518
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"