A
Yriy Bratyakin
А в свободном доступе есть документы, указанные в информационном сообщении? Не могу найти что-то
Нет, это документы ограниченного распространения.
Size: a a a
2019 May 16
YB
Тогда как?
A
Вот так (см. ниже). Или запрашивать документы у ФСТЭК.
A
В Информационном письме ФСТЭК России говорится про Методику КСИИ, но удобнее и не запрещается Методику по ПДн
T
Yriy Bratyakin
Тогда как?
Метода по ксии закрыта
YB
Но методика по ПДН и КИИ это небо и земля
T
Методы по КИИ нет
YB
У кого-нибудь есть примеры моделирования угроз при категорировнии?
A
Yriy Bratyakin
У кого-нибудь есть примеры моделирования угроз при категорировнии?
При категориовании надо анализировать. Моделировать надо на стадии реализации 239 приказа ФСТЭК.
AB
Yriy Bratyakin
У кого-нибудь есть примеры моделирования угроз при категорировнии?
213 угроз из bdu.fstec.ru на методику к защите ПДн
YB
Обязательно ли использовать таблицу с сайта ФСТЭК с уязвимостями?
T
Нет, но ФСТЭК оценит ☺️
VM
213 угроз из bdu.fstec.ru на методику к защите ПДн
и ещё угрозы крипты (МД ФСБ)
VM
Yriy Bratyakin
Обязательно ли использовать таблицу с сайта ФСТЭК с уязвимостями?
Если на этапе внедрения, то ответ - да:
абз. 13 п. 12.6 П-239 "По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России"
абз. 13 п. 12.6 П-239 "По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России"
2019 May 17
v
Длч его разрабатывается МУ после категорирования? по сути это исходные данные для проектирования, тут нужно определиться какой информации будет достаточно, а не искать методику....
YB
Мне нужно понять, для чего это делается во время категорирования, добрые люди сказали, что можно и не делать, но при проектировании придется
v
Yriy Bratyakin
Мне нужно понять, для чего это делается во время категорирования, добрые люди сказали, что можно и не делать, но при проектировании придется
Вот в 127пп разве не точно написано что должно быть? В форме по 236 должен быть перечень угроз, а как вы его получите - решать Вам. Как и все категорирование это скорее экспертная оценка, как бы никто не пытплся натянуть сову на глобус
v
МУ разрабатывается для ЗОКИИ и нужна для прректирования поиб, это другое... но и тут нет методики. Поэтому опять же только Вам решать нужно ли прорабатывать это детально или отдпть на откуп проектировщику...
D
Yriy Bratyakin
Мне нужно понять, для чего это делается во время категорирования, добрые люди сказали, что можно и не делать, но при проектировании придется
При категорировании нужно понять общие классы возможных угроз, чтобы с ними связать потенциальный ущерб. Если есть угроза остановки АСУ, то считаем такой ущерб. Если нет угрозы вывода за установленные значения процесса и разрушение технологического оборудования нет, например, то такой ущерб не считаем. Есть ли угрозы вирусного заражения, шифровальщиков, блокирования трафика и тд. То есть цель понять типы инцидентов и возможный ущерб, связанный с ними. Нужен анализ угроз, то есть выделить основные виды и написать для каких вероятность не нулевая.
Моделирование угроз требуется только для значимых ОКИИ. Это более трудоемкая задача и можно сэкономить ресурсы, если не делать для всех на этапе категорирования.
Моделирование угроз требуется только для значимых ОКИИ. Это более трудоемкая задача и можно сэкономить ресурсы, если не делать для всех на этапе категорирования.
v
конечно, чтобы отбиься от любых вопросов - берете ксиишную методику и адаптируете под асутп. Результат тот же, но документ становится внушительных размеров и появляется видимость глубокой проработки вопроса.