Почему не угрозы? Угрозы. Но не в однозначном соответствии NIST-овскому threat
Угрозы БнДУ - соответствуют формуле "Угроза действия над объектом" за исключением некоторых, общеприменимых типа "отказ в обслуживании".

Да я очень много видел классификаций угроз в мире, но они не все совместимы/имеют однозначное соответствие.

Правительство РФ не имеет своего Банка данных угроз, поэтому ничего ни от кого не требует - при формировании Перечня можно использовать любую классификацию, хоть собственную. ФСТЭК ответственен за формирование БДУ, поэтому, логично, что требует от всех его использование - в КИИ это при формировании Модели угроз

Пообщался с коллегами. Получается я немного не прав. При категорировании можно составить перечень угроз и выбрать из них актуальные на свой "экспертный" взгляд, не используя методики. Это не запрещено. Соответственно на этом этапе и модель угроз не нужна.

Спасибо за ответ)

В терминах ФЗ-187 это атаки. Для категорирования они не нужны, нужно описание угроз в терминах "что плохого может произойти, если...".

Если я категорирую электроподстанцию, я знаю, что воздействие на нее может привести к нарушению электроснабжения или к аварии с человеческими жертвами. Для этого мне БДУ не нужна совсем. Более того, на этой стадии она мне бесполезна: формулировки типа "через уязвимость гипервизора нарушитель может из гостевой ОС получить доступ к гипервизору" не дает представления ни о последствиях такого действия, ни даже о том, можно ли такое действие в этой системе выполнить.

Наоборот, при  моделировании угроз я детально изучаю устройство этой подстанции и тогда могу применять БДУ.. Т.е. увидев, что контроллер управляется через веб-интерфейс, я могу уже выбирать из базы "угрозы", специфичные для такого интерфейса, а из них уже составлять реалистичные сценарии угроз.

Я так и написал. Что угрозы БИ из БДУ нужны на этапе моделирования угроз БИ. А на этапе категорирования можно использовать любые "угрозы"

А мне во ФСТЭК сказали, что запонение 6.2  Основные угрозы безопасности информации или обоснование их неактуальности  УБИ.069, УБИ.083, УБИ.098, УБИ.103, УБИ.104, УБИ.111, УБИ.116, УБИ.128, УБИ.167, УБИ.171, УБИ.174, УБИ.175

правильное

Еще в разговоре было рекомендовано, для заполнения формы, оперирвоать понятиями указаными в 2м столбце формы

Коллеги подскажите, пожалуйста, корп сеть как ИТС расперделенную на множество объектов категорировать стоит?

точнее как ее категорировать :) в части заполнения формы 236. У кого-то есть видение как это делать вообще?

"Мне во ФСТЭК" - это неинформативно. Какой именно ФСТЭК?

Это не имеет значения, человек является сотрудником ФСТЭК и в рабочем порядке дал консультацию по предоставленной 236 форме. Чем вызвал еще больше вопросов конечно. Например, если ОКИИ распределен по адресам, в 1.2 вписываются все адреса(1-100-1000) все в одку ячеку. Аналогично с 8.2 ВСЕ 15 пукнтов перечня объясняются в одной ячейке.

Так же возникло не понимае. Т.к. корп сеть является ОКИИ, выполняя критические процессы приема передачи инф и как минимум управления, то как ее рассматривать как сеть или как связку с серверами и ПК. Например есть топология звезда через АПН провайдера, с одной точкой выхода в интернет. Какие Общесистемные ПО и Прикладные программы могут быть в ОКИИ учитывая что ее тип ИТС.

Еще как имеет. Если это местное управление ФСТЭК, то эти парни вообше вообще вопросами категорирования не занимаются. А уровень знаний в этом вопросе сильнотэ варьируется от региона к региону. В УрФО вы получите очень грамотный ответ, а есть регионы, а которых сотрудники ФСТЭК несут полную чушь. В частности про "УБИ*" человек вам в рабосчем порядке художественно насвистел.

отлично! Я так понимаю у вас есть грамотный ответ от УрФО. Может быть поделитесь?

Перечень угроз в свободной форме, но чтобы было понятно, почему именно такие показатели и именно с такими значениями. Можете смапить на УБИ - отлично, нет - значит нет, это не самоцель. УБИ нужны еа стадии создания системы зашиты для усиления базовых мер защиты.

Хорошо вопрос не в УБИ. Вопрос чем оперировать. То, что пишут на сайтах это все равно что заборные картинки. Как и любой регулятор, ФСТЭК хочет видить "понятные" всем определения. Если вы говорите о перечне угроз в свободной форме, вы имеете ввиду Базовую модель, утвержденную ФСТЭК? Потом так же возникло не понимае. Т.к. корп сеть является ОКИИ, выполняя критические процессы приема передачи инф и как минимум управления, то как ее рассматривать как сеть или как связку с серверами и ПК. Например есть топология звезда через АПН провайдера, с одной точкой выхода в интернет. Какие Общесистемные ПО и Прикладные программы могут быть в ОКИИ учитывая что ее тип ИТС.

Мы именно так и отправили. Просто перечнем кодов. И ничего нам не развернули

Нет, для КИИ нет утвержденной базовой модели.  

В вашем примере "передача управляющей информации" - это не критический процесс: без дополнительных сведений вы не можетеискащать, почему прекращениеиеередачи информации приведет к тяжелым последствиям. Вам нужно рассмотреть конкретеюные технологические процессы (производственный, лечебный, оказание госуслуг и т.п.), нарушение которых к таким последствиям может привести.

На примере электриков. Есть критический процесс: электроснабжение населения. Есть объект - подстанция. Есть негативное последствие: отключение электроснабжения. Есть несколько угроз, которые к нему приводят, одна из них - "навязанное" нарушителем срабатывание защиьной автоматики. Есть нксколько способов это сделать, один из них - прислать ложное сообщение протокола GOOSE о перегрузке сети. Это можно сделать несколькими способами, один из которых - сфальсифицировать сообщения в корпоратвной сети.

И вот только в этот момент рассмотрения угроз ваша корпоративная сеть - ух ты! - неожиданно становится критическим объектом. Потому что только в этот момент вы выяснили, что угроза нарушения целостности передаваемой информации в корпоративной сети может привести к нарушению критического процесса.

А чтобы воспользоваться БДУ или КСИИшной моделью вам придется увеличить глубину детализации еще на пару шанов :)

Те следуя вашему примеру. Угроза для окии электроподстанция , это навязанное ложное срабатывание защиты. Но  для корпоративных сетей угрозой будет перехват трафика(управления). Правильно?