v
в старом документе много противоречий новым требованиям ФСТЭК. Банально сейчас нужно по БДУ оценивать все, а не по тому списку, нужно вводить потенциал нарушителей
База БДУ достаточно не полна. Пользоваться ей - отводить глаза от проблем
Size: a a a
2019 March 22
N
это основа, вы исользуете ее + добавляете необходимое
N
вообще я бы не сказал, что там много белых пятен. Есть перекосы, что какие-то вещи, вроде атак на BIOS рассмотрены в 5-7 вариантах, а атаки с использованием уязвимостей сайтов или сетевых протоколов довольно грубо объединены
A
База БДУ достаточно не полна. Пользоваться ей - отводить глаза от проблем
При входе в базу так и написано, что она не охватывает все возможные угрозы)
С
короч я как понял все как хотят так и делают главное сослаться на действующий документ
Тут тоже есть подводный камень, контролеры не очень любят когда им показывают документы других регуляторов :) Могут даже наехать. Чисто для смеха, терриориальные органы при согласовании начинают править документы которые согласованы с их центральным аппаратом. Даже при налиичии соответствующей надписи. Так и живем.
AK
особенно если там экзотические вещи согласованы :)
VM
База БДУ достаточно не полна. Пользоваться ей - отводить глаза от проблем
База угроз БДУ не содержит угроз, которые входят за область ответственности ФСТЭК России (например, актуальная для Дальнего Востока угроза землетрясений).
Так что да, угроз там где-то процентов 60%
Так что да, угроз там где-то процентов 60%
SL
База угроз БДУ не содержит угроз, которые входят за область ответственности ФСТЭК России (например, актуальная для Дальнего Востока угроза землетрясений).
Так что да, угроз там где-то процентов 60%
Так что да, угроз там где-то процентов 60%
БДУ вообще не учитывает неантропогенные источники угроз
AK
тем не менее, фстэк при согласовании модели хочет видеть эти угрозы в ней
VM
Тут вопрос актуальности. Угрозы UEFI достаточно значимые (по последствиям) (см. доки ниста аналогичные). А угрозы атак - их слишком много для среднестатистического моделирователя угроз РФ. Они соответствуют первым-вторым уровням КАПЕКа. Кто шарит, может воспользоваться данным ресурсом для уточнения.
VM
Alexander Korb
тем не менее, фстэк при согласовании модели хочет видеть эти угрозы в ней
КОнечно, так сокращается время рассмотрения. Когда не было БДУ народ такие формулировки угроз в МУ использовал, не сразу поймёшь, что же они имели ввиду
VM
БДУ вообще не учитывает неантропогенные источники угроз
Одна точно есть. Забыл что-то с серверной, то ли температура, то ли пыль, или влажность
SL
это тоже фактически невыполнение человеком регламентов по обслуживанию
VM
Одна точно есть. Забыл что-то с серверной, то ли температура, то ли пыль, или влажность
Не, целых три.
A
Для обезличенных пдн 4 класс?
A
Спасибо за наводку. Алтэкс софт сказали, что можно к уже купленой вин 8.1 докупить ФСТЭК сертификат
A
И до ноября 2020 использовать
VM
Для обезличенных пдн 4 класс?
VM
Если угрозы 3 типа, то да
A
Для каждой ис надо модель угроз создавать?