Так это все понятно, про флэшки и админов (да и другие моменты) учитываем. Дело не в том, что не хотим делать, как требуют, а просто нет желания что-то еще прикручивать, а ограничиться, условно, лампочкой сигнальной дежурному инженеру, как сказали выше (немного утрирую, но суть понятна)

Лампочка на что сигналить будет? Если на применение известного RCE-эксплойта, то эта лампочка - СОВ, придется прикручивать

Если вы не хотите обнаруживать применение известных эксплойтов, то как тогда вы будете защищаться от их применения? Антивирусы против RCE бесполезны, на замкнутость среды вы ссылаться не можете.

Т.е. если вы действительно смогли всерьез защиться от использования своими же сотрудниками известных сплойт-паков без предположения о том, что у вас все илеально, то да, вы можете обойтись без IDS.

Но что-то мне сомнительно, что смогли :)

Да какая там замкнутая среда, хотя на парочке объектов она реализована. Большинство систем крутятся на древних 95 и 98 винде :))  Это я на будущее прикидываю, тк сейчас модернизация пошла потихоньку. И если уж надо будет - то сделаем. Хотя, на одной системе внедрили редчек, но он толком не работает, тк асутп изолирована в рамках одного шкафа и арма оператора. Пойду,  пожалуй,  работать над увеличением штата, а то я весь этот балаган с ИБ уже не вывезу :)

Ну защита от сотрудников, кстати, на уровне и старых систем решается - блочим все порты, запираем в шкафы и делаем указ о расстреле виновных в случае чего :) как практика показала - работает, давно ничего не заносили в асу :))

Это один из вариантов "защиты без СОВ" :)

А почему Вы считаете что если поставить ips/ids то образуется "дырка"?

или не обнаруживали то что заносили в асу.

Ну так считаю по простой причине - любой софт плод труда человека, а человеку свойственно ошибаться :) так появляются баги, которые вырастают в сплойты и тд. Принцип простой - у системы из 2 компонент есть вероятность прохода по 2 компонентам, у системы из 5 - по 5 :))

В моих условиях вероятность заноса чего-то в асутп практически на всех объектах минимальная (один уязвим по ряду причин). Последний раз было года 3-4 назад, виновные репрессированы и больше соблазна нет :) в общем, тут худо-бедно уверенность есть. Не только по причине выше, но и по ряду других :)

Насчет СОВ странное рассуждение :) Если не хотите применять - дело ваше, но говорить, что она увеличит поверхность атаки - это глупо.

Если бы. Как мне объяснили с октября НКЦКИ соглашения не заключает, ждут назначения нового директора.

Добрый вечер, коллеги,  поделитесь, пожалуйста, приказом или фз указывающий на необходимость получения лицензии для аттестации, создания модели угроз, пояснительной записки и т.д.

Пп79 для работ по проектированию и аттестации, лицензии фстэк на ТЗКИ. На моделированию угроз не требуется лицензия

Коллеги, здравствуйте! У меня слишком ламерский вопрос. А есть ли какие - то комментарии или методические рекомендации по мерам по защите информации из 239 приказа фстэк? Как их расшифровать?

Обещают в этом году и новую базовую МУ тоже

Нет, только пытаться привязать я к мерам 17 приказа, к которым есть методики фстэк

Что такое МУ?

Модель угро з

Ааа, спасибо!

Еще и изменения в 239 Лютиков обещал))