Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новая Методика УБИ - Форум по вопросам информационной безопасности

Новая Методика УБИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3

Автор: oko | 109101 13.03.2021 21:54
to CM
О, так вы тоже не верите в дискуссию в рамках форума? И чего было раньше прикидываться...
1. Так и не превращайте тему в филологическую бойню...
2. Даю наводку: "составление требований" -> "проектирование" -> "внедрение" -> "аттестация". Внимание, вопрос, уважаемые знатоки: тождественны ли понятия "исходные данные" (с позиции аттестации) и "итоговые документы" (с позиции подготовки к аттестации)?
3. Еще любопытный вопрос: в вашей практике в ЧМУ были прописаны функции, цели, обязанности, права и т.д. сотрудников-эксплуатантов? Если нет, то как вы ЧМУ умудрились в ОРД впихнуть?
4. Никакого искажения слов - только попытка проследить семантику. Вам, очевидно, не хочется видеть связь ЧМУ с ТЗ. Вероятно, в причину собственного понимания слова "связь". Может вам все-таки к филологам, а?

ЗЫ Был у меня случай, когда представителя регулятора больше интересовала юридическая сторона исполнения требований (закрепленная в РД длина паролей), а не фактическое положение дел (своеобразный "перезаклад" по оной длине). Искренне надеюсь, что у вас иной подход к делу. А то как-то интерес теряется - imho, осмысленность всегда должна быть важнее формализма, ага...

Автор: WORM, МК | 109102 14.03.2021 19:03
Как и обещал, отписываюсь по итогам лекции о новой Методике.

Узнать удалось немного.
1. По поводу вопроса, следует ли учитывать в МУ наличие СЗИ в ИС. При проектирование ИС не учитывать (предполагать, что их нет), при эксплуатации ИС (и уточнении МУ) - учитывать.
(поясню, откуда возник вопрос: от этого же представителя (точнее, представительницы) ФСТЭК ранее я слышал, что СЗИ не следует учитывать. Почему - "чтобы случайно не пропустить какую-либо угрозу").

2. Под способом реализации угроз следует понимать "вектор атаки". Способов в Методике всего 9 (можно добавлять от себя). Например: Угроза НСД к СУБД (это название угрозы) за счет использования уязвимостей (это способ ее реализации).

3. Тактики это по сути этапы реализации угрозы (этапы действий нарушителя). (это видно и из методики, просто подтверждение).

4. Если угроза возможна (м. б. реализована), то она актуальна!

5. Лицензия на разработку МУ не требуется.

6. Идет работа над примерами МУ для "типовых" ИС. Может, в конце года...

7. В БДУ будет подробная таблица тактик и техник (когда - не известно, не скоро).

8. Замечания и предложения по методике приветствуются и будут учтены при внесении изменений (тов oko, пишите не только на форуме!!).

тов. СМ, Ваш вопрос задать не удалось: время поджимало и все жутко устали, был уже вечер. Могу высказать только свое мнение. МУ - информационно-аналитический документ, исходя из которого принимаются дальнейшие решения (как, например, аналитическое обоснование).

Автор: oko | 109103 15.03.2021 10:58
to WORM
Спасибо!
Примеры типовых ЧМУ было бы неплохо - сняло бы разность трактовки положений новой Методики...
А писать уже желания нет - по Проекту-2020 дважды высылал предложения - не получил даже обратной связи. К тому же, imho, в новую Методику следует внести глобальные коррективы, а не косметические правки. Заодно чехарду в 17, 21 и проч. Приказах разобрать. И это явно выйдет за пределы возможностей авторов Методики, которую все так долго ждали и утвердили совсем недавно...

Автор: WORM, МК | 109104 15.03.2021 11:06
to oko
"не получил даже обратной связи"

Ну, обратной связи и не обещали, но замечания читают внимательно. Было прислано 300 страниц предложений/замечаний, с учетом которых и был скорректирован проект.

Регулятор понимает, что документ не идеален (просто тянуть дальше уже было нельзя). Планируется вносить коррективы по мере накопления практики...

Как и у всех, у них масса вводных "быстро все бросай и беги красить забор". Время...

Автор: CM | 109105 16.03.2021 08:18
to WORM
Благодарю.

Автор: oleg | 109108 18.03.2021 15:03
Межблогерский вебинар. Моделирование угроз ИБ

https://www.youtube.com/watch?v=y4zlLtPQ7E4

Автор: oko | 109109 18.03.2021 22:25
*в сторону*
Слово-то какое мудреное выдумали, "межблогерский"...

Страницы: < 1 2 3

Просмотров темы: 1527

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*