A
Все ку дважды с уважением. Ну подскажите пожалуйста, кто заполнял акты категорирования? Вы придерживались какой-то справочной инструкции?
Справочной инструкции нет, но придерживался требований к содержанию, что указаны в ПП-127.
Size: a a a
2019 January 22
ЮК
Не хватает мне этого документа. Вот например, в акте нужно указать помимо показателей, какие организационные и технические меры были применены, а также категории нарушителей, угрозы иб, последствия. Мне тут как, своим языком описывать или есть хоть какой-то справочник или рекомендации по заполнению?
1
1
Должно помочь
ЮК
Благодарю, глянем сейчас
AL
Все ку дважды с уважением. Ну подскажите пожалуйста, кто заполнял акты категорирования? Вы придерживались какой-то справочной инструкции?
Не придерживались ни кпкой инструкции, сделали по своему усмотрению применительно к объектам+расписал все уязвимости по ФСТЭК, но даже мне кажется, что это я перестарался
AL
Konstantin
Коллеги, приветствую! Может кто-то уже задавал вопрос, но повторюсь. Модель угроз составляется с помощью методики КСИИ или ПДн? И какое различие между ними?
За основу вполне можно взять, специальных требований нет, а дальше безграничное творчество
K
Я немного не понимаю суть составления модели. По тексту ладно, сплошь одно творчество. А на выходе что??
1
Konstantin
Я немного не понимаю суть составления модели. По тексту ладно, сплошь одно творчество. А на выходе что??
Актуальные угрозы)
K
1+1
Актуальные угрозы)
То есть? Мы составляем картину возможных злоумышленников, далее перечисляем возможные угрозы, совершаемые ими. И в конце получаем модель по этим же злоумышленникам, но уже с акт потными угрозами?
K
А какие именно 209 УБ берутся со БДУ?
1
Так же вам нужно знать какие у вас есть уязвимости, которые могу эксплуатировать злоумышленники
1
Все в комплексе и даст вам возможность понимать какие угрозы для вас будут актуальными
1
Из этого целого списка
K
1+1
Все в комплексе и даст вам возможность понимать какие угрозы для вас будут актуальными
Благодарю!
DK
Konstantin
Я немного не понимаю суть составления модели. По тексту ладно, сплошь одно творчество. А на выходе что??
Не нужна модель. Нужен ответ на вопрос: с чего вы решили, что по вот этому показателю сработает вот такой критерий.
То есть нужно описание угроз в стиле "несанкционированный доступ вот к этому серверу даст нарушителю возможность красть деньги со счетов клиентов-физлиц" (в случае банка). Тогда из описания угрозы видно, что экономические показатели для этой системы неактуальны, и по ним система не относится к значимым объектам КИИ.
А модель угроз (с учетом БДУ) делается при проектировании системы защиты. Это совсем другой процесс и другие сроки
То есть нужно описание угроз в стиле "несанкционированный доступ вот к этому серверу даст нарушителю возможность красть деньги со счетов клиентов-физлиц" (в случае банка). Тогда из описания угрозы видно, что экономические показатели для этой системы неактуальны, и по ним система не относится к значимым объектам КИИ.
А модель угроз (с учетом БДУ) делается при проектировании системы защиты. Это совсем другой процесс и другие сроки
K
Не нужна модель. Нужен ответ на вопрос: с чего вы решили, что по вот этому показателю сработает вот такой критерий.
То есть нужно описание угроз в стиле "несанкционированный доступ вот к этому серверу даст нарушителю возможность красть деньги со счетов клиентов-физлиц" (в случае банка). Тогда из описания угрозы видно, что экономические показатели для этой системы неактуальны, и по ним система не относится к значимым объектам КИИ.
А модель угроз (с учетом БДУ) делается при проектировании системы защиты. Это совсем другой процесс и другие сроки
То есть нужно описание угроз в стиле "несанкционированный доступ вот к этому серверу даст нарушителю возможность красть деньги со счетов клиентов-физлиц" (в случае банка). Тогда из описания угрозы видно, что экономические показатели для этой системы неактуальны, и по ним система не относится к значимым объектам КИИ.
А модель угроз (с учетом БДУ) делается при проектировании системы защиты. Это совсем другой процесс и другие сроки
То есть нам необходимо сейчас взять свой перечень направленный во фстэк и прогнать по показателям согласно 127 пп?
DK
Konstantin
То есть нам необходимо сейчас взять свой перечень направленный во фстэк и прогнать по показателям согласно 127 пп?
Не совсем. Показатели - это последствия реализации угроз. ФСТЭК интересуют все угрозы, просто угрозы, приводящие к таким последствиям, наиболее важны для категорирования.
Могут быть и другие угрозы, не влияющие на показатели (пример я привел). Но вот степень детализации описания должна быть достаточной, чтобы понять, соотносится эта угроза с покателями или нет.
Т.е. угрозы нужно описать все, какие видите, но лезть в ненужные детали (какая уязвимость может быть использована, каким способом, какие возможности нужны нарушителю) - не нужно
Могут быть и другие угрозы, не влияющие на показатели (пример я привел). Но вот степень детализации описания должна быть достаточной, чтобы понять, соотносится эта угроза с покателями или нет.
Т.е. угрозы нужно описать все, какие видите, но лезть в ненужные детали (какая уязвимость может быть использована, каким способом, какие возможности нужны нарушителю) - не нужно
K
Не совсем. Показатели - это последствия реализации угроз. ФСТЭК интересуют все угрозы, просто угрозы, приводящие к таким последствиям, наиболее важны для категорирования.
Могут быть и другие угрозы, не влияющие на показатели (пример я привел). Но вот степень детализации описания должна быть достаточной, чтобы понять, соотносится эта угроза с покателями или нет.
Т.е. угрозы нужно описать все, какие видите, но лезть в ненужные детали (какая уязвимость может быть использована, каким способом, какие возможности нужны нарушителю) - не нужно
Могут быть и другие угрозы, не влияющие на показатели (пример я привел). Но вот степень детализации описания должна быть достаточной, чтобы понять, соотносится эта угроза с покателями или нет.
Т.е. угрозы нужно описать все, какие видите, но лезть в ненужные детали (какая уязвимость может быть использована, каким способом, какие возможности нужны нарушителю) - не нужно
Примерно понял) почитаю ещё) благодарю за ответ!)
T
Не хватает мне этого документа. Вот например, в акте нужно указать помимо показателей, какие организационные и технические меры были применены, а также категории нарушителей, угрозы иб, последствия. Мне тут как, своим языком описывать или есть хоть какой-то справочник или рекомендации по заполнению?
Я взял за основу 239 приказ. И я если честно не понимаю в чем отличие документов Акта категорирование и формы сведений. Отличие нашел только в том что акт должна подписать комиссия.