Комментарии 10
с учетом всех особенностей самого ОЗ и его окружения реализация некоторых УБИ выглядит весьма фантастичной.
и второе:
Несмотря на появляющуюся то тут, то там информацию о внесении изменений в Методику, применять ее приходится здесь и сейчас.
И наконец:
Впрочем, в Методике есть и положительные стороны, но она однозначно требует доработки, которая, надеюсь, скоро произойдет.
Так что в сухом остатке?
Прочитал с удовольствием и задумался, а неужели есть те кто занимается этим мазохизмом? Или это правила игры?
Любой интегратор по ИБ за определенную сумму сделает такое :)
За денежку понятное дело. А что для дела это даёт?
Для некоторых направлений защиты (ПДн, КИИ..) существуют утвержденные методики со стороны регуляторов. При защите приходится моделировать угрозы по этим методикам, тут интеграторы помогают за деньги.
Для дела то может дать следующее:
На основе актуальных угроз выбрать меры по защите
На основе мер по защите выбрать конкретные механизмы и наложенные средства щашиты
Наконец-то разобраться и навести порядок в объекте защите: что защищаем, кто может напасть, откуда и как напасть.
Все выше перечисленные пункты конечно тоже оформляются кучей бумажек, за которые интегратор берет не малые деньги. По факту даже если это все в конце концов закупят и внедрят, то не факт, что будет полезно. Потому что без квалифицированного персонала, который всё это будет эксплуатировать, реагировать на инциденты и т.п. всё бесполезно.
факту даже если это все в конце концов закупят и внедрят, то не факт, что будет полезно.
Здорово.
без квалифицированного персонала, который всё это будет эксплуатировать, реагировать на инциденты и т.п. всё бесполезно.
Да, если есть специалисты, то они из из того что есть построят грамотную защиту и могли съэкономить "немалые деньги", но нужны бумажки
перечисленные пункты конечно тоже оформляются кучей бумажек, за которые интегратор берет не малые деньги.
И вся защита в итоге сводится к оформлению кучи бумажек!
Утвержденная больше года назад Методика действующая и при моделировании угроз ей необходимо руководствоваться. Обязательно для госорганов и для всех организаций, где есть системы, в которых обрабатываются персональные данные (по факту все).
Но многие пока живут, т.к. у регулятора рук не хватает на проверки.
В части Вашего второго вопроса. Модель угроз является первым документом на пути построения системы защиты информации, и как сказал выше для многих обязательной.
Итоговый список актуальных угроз в частности влияет на выбор средств защиты.
Приводится ссылка на акт классификации информационной (автоматизированной) системы, в котором указаны класс защищенности, категория значимости и/или уровень защищенности персональных данных (ПД). Указываем какой класс защищенности, категорию значимости и/или уровень защищенности персональных данных в соответствии с актом.
Уровень защищенности персональных данных определяется в соответствии с Постановлением № 1119 от 01.11.2012 для ОЗ, являющихся системами персональных данных (СПД).
Но ведь по 1119 что бы классифицировать, нужно определить тип актуальных угроз. Какой то замкнутый круг получается.
Формально вы правы. На практике сначала выполняется определение уровня защищенности с составлением акта, где сразу указывается тип актуальных угроз для системы.
Согласно Методики моделирования угроз использование НДВ (угрозы 1 и 2 типов по ПП № 1119) - это способ реализации, доступный нарушителю с уровнем возможностей Н4 (спецслужбы иностранных государств). Поэтому обычно указывается, что актуальны угрозы 3-го типа, не связанные с наличием НДВ. После этого готовится модель угроз, в которой не должно быть противоречий этому заявлению.
1 и 2 типы должны видимо рассматриваться в системах с гостайной или близких к ней, т.е. для систем, для которых актуальными источниками угроз являются спецслужбы иностранных государств.
Доброго времени суток. Статья оказалась довольно полезной. Тоже считаю, что новая методика просто сложнее и муторнее. Старая методика была более простой и более конкретизированной
Моделирование угроз (описание объекта защиты)