только аттестат нарисовать надо иметь вторую фирму, которая вас аттестует, с лицензией на это дело)

Желательно не аффилированную. Но это так, из области фантастики

А там вдруг - как назло попались дотошные безопасники, которые не умеют делать криво :-)

Замкнутый круг.. Таки быть модели угроз :-)

Ну так модель угроз то кто делает?) ее делает не тот кто выдает аттестат)

Аттестат вам выдадут что меры что вы сделали соответствуют заявленому, а то что вы накосячили  - тут ваша опа и будет крайней

Ну плюс кривые безопасники могут класс защиты задрать, ну так на всякий случай)

В общем если это бюджет, все это позволяет выбить денег на нормально железо, так как есть требования

А если комерсы, ну можно и не делать, сами себе злобные буратины)

Так и живём 🤷‍♂

Некоторые требования распространяются и на коммерсов тоже, также 152 ФЗ, Только на них они опираются в последнюю очередь, а в первую , кмк используют  международные стандарты и лучшие практики

а если в модели написать что внутренние и внешние нарушители неактуальны а в УБИ оставить угрозы типа zero-day и тд?

и соответственно скзи не требуется?

Если говорить о российских коммерсах (без западного капитала), то они вообще ни на что не опираются, фактически, просто не имеют понятия. Если,говорить, о банках, то они, прежде всего, чтут нормативку ЦБ. Банки с собственным процессингом попадают под ежегодный внешний аудит по PCI DSS, в части своих карточных сегментах и, пока на уровне самооценки, требования Swift, там так же, свой выделенный сегмент(ы) сети.

Ну PCI DSS сам по себе внушительный перечень требований и ограничений вносит. Это как раз тот самый международный стандарт. Один из

Ну они не сами на него опираются. Их "опирают" принудительно и большинство всеми силами пытается от этого дела отмазаться. А так я вот тоже особо не видел российских комерсов, которые добровольно исполняют непонятные им и необязательные стандарты. Про мифические "лучшие практики" я вообще промолчу. 😊

Кде-то, на недавнем семинаре, все регуляторы и РКН заявили, что они больше не требуют модель угроз. КМК, просто уже наелись.
Требования использования СКЗИ, при передаче ПДн по открытым каналам, не лечится ничем.
Т.е. можно надеяться, что при проверке прокатит, но проверяющие (не РКН) будут в полном праве выписать замечания.

Ну это банки, как правило, из 1ой сотни, и то, не все. Т.е. от общего кол-ва российских коммерсов и 1% не наберется

все регуляторы это ФСБ России и ФСТЭК России или кто не требует модель угроз? Так никто ведь не отменял пп676 или я чтото пропустил

Конференция была по ПДн, инфа есть в блоге Емельянникова и, вроде, у Борисова. Из регуляторов - ФСБ,ФСТЭК, ну и РКН, как главный проверяльщик.
Ну и как можно требовать МУ, если утвержденной методики нет.