Автор: oko | 109101 | 13.03.2021 21:54 |
to CM
О, так вы тоже не верите в дискуссию в рамках форума? И чего было раньше прикидываться... 1. Так и не превращайте тему в филологическую бойню... 2. Даю наводку: "составление требований" -> "проектирование" -> "внедрение" -> "аттестация". Внимание, вопрос, уважаемые знатоки: тождественны ли понятия "исходные данные" (с позиции аттестации) и "итоговые документы" (с позиции подготовки к аттестации)? 3. Еще любопытный вопрос: в вашей практике в ЧМУ были прописаны функции, цели, обязанности, права и т.д. сотрудников-эксплуатантов? Если нет, то как вы ЧМУ умудрились в ОРД впихнуть? 4. Никакого искажения слов - только попытка проследить семантику. Вам, очевидно, не хочется видеть связь ЧМУ с ТЗ. Вероятно, в причину собственного понимания слова "связь". Может вам все-таки к филологам, а? ЗЫ Был у меня случай, когда представителя регулятора больше интересовала юридическая сторона исполнения требований (закрепленная в РД длина паролей), а не фактическое положение дел (своеобразный "перезаклад" по оной длине). Искренне надеюсь, что у вас иной подход к делу. А то как-то интерес теряется - imho, осмысленность всегда должна быть важнее формализма, ага... |
Автор: WORM, МК | 109102 | 14.03.2021 19:03 |
Как и обещал, отписываюсь по итогам лекции о новой Методике.
Узнать удалось немного. 1. По поводу вопроса, следует ли учитывать в МУ наличие СЗИ в ИС. При проектирование ИС не учитывать (предполагать, что их нет), при эксплуатации ИС (и уточнении МУ) - учитывать. (поясню, откуда возник вопрос: от этого же представителя (точнее, представительницы) ФСТЭК ранее я слышал, что СЗИ не следует учитывать. Почему - "чтобы случайно не пропустить какую-либо угрозу"). 2. Под способом реализации угроз следует понимать "вектор атаки". Способов в Методике всего 9 (можно добавлять от себя). Например: Угроза НСД к СУБД (это название угрозы) за счет использования уязвимостей (это способ ее реализации). 3. Тактики это по сути этапы реализации угрозы (этапы действий нарушителя). (это видно и из методики, просто подтверждение). 4. Если угроза возможна (м. б. реализована), то она актуальна! 5. Лицензия на разработку МУ не требуется. 6. Идет работа над примерами МУ для "типовых" ИС. Может, в конце года... 7. В БДУ будет подробная таблица тактик и техник (когда - не известно, не скоро). 8. Замечания и предложения по методике приветствуются и будут учтены при внесении изменений (тов oko, пишите не только на форуме!!). тов. СМ, Ваш вопрос задать не удалось: время поджимало и все жутко устали, был уже вечер. Могу высказать только свое мнение. МУ - информационно-аналитический документ, исходя из которого принимаются дальнейшие решения (как, например, аналитическое обоснование). |
Автор: oko | 109103 | 15.03.2021 10:58 |
to WORM
Спасибо! Примеры типовых ЧМУ было бы неплохо - сняло бы разность трактовки положений новой Методики... А писать уже желания нет - по Проекту-2020 дважды высылал предложения - не получил даже обратной связи. К тому же, imho, в новую Методику следует внести глобальные коррективы, а не косметические правки. Заодно чехарду в 17, 21 и проч. Приказах разобрать. И это явно выйдет за пределы возможностей авторов Методики, которую все так долго ждали и утвердили совсем недавно... |
Автор: WORM, МК | 109104 | 15.03.2021 11:06 |
to oko
"не получил даже обратной связи" Ну, обратной связи и не обещали, но замечания читают внимательно. Было прислано 300 страниц предложений/замечаний, с учетом которых и был скорректирован проект. Регулятор понимает, что документ не идеален (просто тянуть дальше уже было нельзя). Планируется вносить коррективы по мере накопления практики... Как и у всех, у них масса вводных "быстро все бросай и беги красить забор". Время... |
Автор: CM | 109105 | 16.03.2021 08:18 |
to WORM
Благодарю. |
Автор: oleg | 109108 | 18.03.2021 15:03 |
Автор: oko | 109109 | 18.03.2021 22:25 |
*в сторону*
Слово-то какое мудреное выдумали, "межблогерский"... |
Автор: Константин | 110045 | 08.06.2022 14:41 |
Насчёт актуальности БМУ. Актуальна.
На форуме ТБ 2022 16.02.2022 выступала Ирина Гефнер, начальник отдела Управления ФСТЭК России. У нее в презентации на 6 слайде указана БМУ, как один из источников исходных данных при разработке МУ БИ ссылка на презентацию |
Автор: oko | 110046 | 08.06.2022 20:20 |
to Константин
Так-то у них на других рисунках и примеры охренеть-какого-объема-сценариев для одной единственной УБИ (если глаза не изменяют при взгляде на эту пиксельную ерунду) представлены. Но это же не означает, что всем вокруг надо так упарываться... Если кому-то хочется юзать замшелый документ (причем именно применительно к ПДн, а не ко всем случаям) - хозяин-барин. Но, imho, и без него проблем хватает... |
Просмотров темы: 3375