Я  это преркасно знаю и понимаю. Отправной точкой для актуальности там будет являтся опасность угрозы. А ее вероятность вопрос субъетивной оценки специалиста. Например вы можете поставить угрозу атаки ОИ инопланетянами. У вас будет маловероятно, но высокий уровень опасности. На выходе угроза будет актуальной

Ну если подходить к вопросу формально, то в случае указания опасности как высокая вне зависимости от возможности реализации угроза будет актуальна, это да

Вот именно поэтому, для сохранения логики документов, угрозы всегда будут актуальны )). Да в общем и само по себе это логично. МУ - это просто чек-лист "слабых" мест конкретной ИС и темпы появления новых уязвимостей как бы намекают на это

просто для взаимопонимания в данном случае стоит использовать термин "вероятная" или "возможная" угроза. Раз уж термин "актуальная" используется ФСТЭК в немного другой трактовке

Я пытаюсь сказать что у фстэк все нормально с трактовками, актуальная - значит возможная. Возможность определяется только наличием условий источник - канал - точка воздействия. Последние два если есть, то осталось определится с потенциалом и мотивацией источника атак. Например утечку по техканалам нужно исключать так как нет мотивации ну или потенциала. В приведенном выше примере так и сделано

там связка вероятность - ущерб.
Угроза будет по ФСТЭК неактуальна при малом ущербе. но она остается вероятной все же.

Ну вот и решите для себя, если та или иная угроза не наносит ущерба, не инвестируйте в ее нейтрализацию. В этом и есть смысл моделирования по фстэк

вы что-то "путаетесь в показаниях"
Если угроза актуальна, то ее закрывать нужно, инвестировать в ее нейтрализацию? Мне кажется, что нужно.
А в первом сообщении было сказано "угрозы присущие ИС исходя из ее структурно-функциональных харакеристик всегда актуальны". Я эту фразу читаю так, что если есть какая-то вероятность реализации угрозы, то она актуальна. И структурно-функциональные характеристики ИС не включают в себя нацеленность нарушителей или возможный ущерб. Есть в принципе нарушитель, канал реализации и соответствующая уязвимость - угрозу можн реализовать. Значит она актуальна по вашей первой цитате.

Если не корректно понял, то поправьте, точнее сформулируйте

Тут дело подхода... Я не раскрыл мысль. Дело в том что я лично всегда и для любой угрозы ставлю высокую опасность.. так как понимаю что сценарий атаки может быть сложным. И у меня все угрозы всегда актуальны. Но если кто то сочтет что опасность низкая для той или иной угрозы - то это будет его право и угроза станет не актуальной - это не будет формально ошибкой считаться. В общем это уже дело конкретного специалиста...

Это дело организации скорее. На корпоративном уровне должна быть задана и согласована руководством шкала оценки ущерба по разным критериям. + обычно владельцы процессов согласовывают вероятный возможный ущерб.
И для ситуации, скажем, крупной нефтянки, не уверен, что бухгалтерия подпишется под высоким уровнем ущерба по общей шкале для частного банк-клиента своего

но тут тоже подход может быть разным конечно

Я с вами согласен. Я сосбственно описал один из подходов моделирования, который позволяет сохранить психическое здоровье и содержит логику )) может кому то поможет. Главная мысль - не исключать опасные угрозы из списка актуальных по причине их текущей нейтрализации - это логическая коллизия при моделировании по фстэк и очень распространенное явление

Похоже на неприкрытую рекламу.

Опять регистрация? Хорошо, что без СМС)))
Здесь в группе приветствуется полностью свободное распространение материалов, например ссылка на возможные аналоги методики по категорированию: https://t.me/bureaucraticsecurity/65 или https://t.me/ruporsecurite/145

Это не совсем методика, это порядок проведения категорирования по шагам. А в методику я бы включил разбор процессов на критичные и нет с примерами, а также сопоставление с критериями и последствиями каждого показателя из ПП127.

Уже кто-нибудь сделал такую методику? Делитесь)

Добрый день коллега, все никак не могу собраться оформитьсвои предложения по первому нашему разговору. А по данному вопросу хочу сказать следующее - разработать методику и притом  универсальную, очень сложно. Можно только общими фразами, что многие и так уже понимают и знают. Я Вам тоже предлагал на примерах разобрать каждую из сфер деятельности. Но Вы же сами и сказали, что нужен ОПЫТ. Так вот в том то и вопрос - опыта еще ни у кого как такового нет, тем более в разных областях одновременно.

Согласен, универсальную методику разработать сложно, но можно разобрать некоторые кейсы по которым есть опыт. Мы как раз по такому пути и идём. Сначала общая картина и порядок (последовательность), затем частные кейсы и подробный разбор.

Вот от кого стоит ждать методики.

Но называть порядок методикой тоже неправильно)