Нет, конечно. Модель включает все. Только большая часть признаётся неактуальными прямо в этой модели. И на выходе - перечень актуальных (тоже часть модели)

Ну как бы общий перечень он на сайте ФСТЭК есть. А частный перечень это и есть модель

Нет, модель - это перечень. Перечень актуальных угроз - заключительная часть модели. Почитайте требования к составлению модели угроз

Владимир этих моделей на согласовывал уже не один десяток в центральном аппарате фстэк включительно

Я вот с практической точки зрения интересуюсь

Любая угроза которая соответствует структурно-функциональным характеристикам системы будет являться актуальной вне зависимости от принятых мер защиты

Да. Её актуальность и есть обоснование выбора меры защиты, наличия меры защиты (для бюджета - затрат на реализацию меры защиты).
Если признать в МУ угрозу вирусов не актуальной, то как потом оправдать затраты на антивирус?

https://bdu.fstec.ru - вот общий перечень угроз, из него выбираются те которые соответствуют сфх, и они все должны быть актуальны - это будет модель

Да. Ещё потенциал только учесть и - да. Так и есть

А откуда такое определение актуальности? Ни вероятность, ни наличие соответствующих нарушителей даже рассматривать не нужно?

Должна быть методика определения актуальности. Актуальной от ФСТЭК нет, поэтому субъекты пока имеют правило использовать свою и она совсем не обязательно будет такой

Здравствуйте, коллеги!
Не могу найти обсуждение или ссылки на официальные документы, где был бы разъяснен вопрос:

В документах НКЦКИ безапеляционно указана необходимость получения лицензии ФСТЭК на мониторинг для создания центра ГосСОПКА и подписания соглашения с нкцки.

Но во многих публикациях блогеры-эксперты говорят, что лицензия требуется только для тех центров, кто планирует оказывать коммерческие услуги или мониторить дочерние юрлица.
Чем можно подкрепить эту точку зрения?

Можно открыть положение о лицензировании. Утв. Приказом №79 . И посмотреть в пункт 2. Если вы услуги не оказываете в соответствии с кодами ОКВЭД, то и лицензия не нужна

Пардон, не приказом, а постановлением

Буфф... Жажду подробностей: как из угрозы "УБИ.004 Угроза аппаратного сброса пароля BIOS" следует возможность или невозможность, например, причинения вреда здоровью людей?

ФСТЭК не случайно упоминает БДУ только в контексте создания системы зашиты (приказ 239) и не упоминает его в перечне сведений, направляемых при категорировании (приказ 236). Потому что угрозы в БДУ пригодны для обоснования выбора мер защиты, но непригодны для определения возможных последствий, на основе которого и должна, собственно, выбираться категория значимости

Эта точка зрения может быть подкреплена Требованиями к подразделениям и должностным лицам субъектов ГосСОПКА, но это документ ограниченного доступа.

Ну я его читаю.
Я про утверждения блогеров, что для собственных нужд лицензия не нужна.

А перечень угроз, определяемых в ходе категорирования - это именно ответ на вопрос "почему вы ыбрали именно эту категорию"

Ничем.

Центр ГосСОПКА - это субъект, который на возмездной или безвозмездной основе оказывает услуги третьим лицам (неважно, коммерческим заказчикам или предприятиям холдинга). Центров ГосСОПКА "для собственных нужд" не бывает.