День добрый, есть ли какие-то типовые модели угроз для ЗО КИИ ?например отраслевые чтобы уже делать выборку из БДУ имея хотяб какие-то ориентиры) Интересует минтранс например)

Проект 2019 года - ОТРАСЛЕВАЯ МОДЕЛЬ
УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ, ЭКСПЛУАТИРУЕМЫХ
МИНИСТЕРСТВОМ ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ УСТАНОВЛЕННЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ

Благодарю 😇

Это проект, не утвержденная версия

там непосредственно МУ 1 страница в конце? Или это урезанный вариант?

Коллеги, помогите пожалуйста разобраться. В связи с публикацией новых требований по уровням доверия. Значит ли что теперь все СрЗИ применяемые для защиты ЗОКИИ должны пройти сертификацию по уровням доверия и контроля? Или это применимо только для случаев когда требуется прохождение оценки соответствия?

Так сертификация это и есть форма оценки соответствия. Одна из..

Если проводить оценку соответствия в форме испытаний или приемки. Необходимо ли будет как-то применять эту нормативку по уровням доверия и контроля?

Только в том случае, если вы хотите установить требования доверия аналогичные сертифицированным средствам

Получается, что если такого требования нет в ТТ, и это не ГИС, а просто промышленный ЗОКИИ, то эти нюансы решаются в рамках ТЗ на СЗИ?

ТТ? Это в принципе всегда решается в ТЗ, только если это ГИС достаточно указание видов и классов и , например, МД Меры ЗИ в ГИС, если нет надо все прописывать самим, и в случае чего плохого - быть готовым ответить за установление требований,  которые не смогли остановить/предотвратить атаку.
Новые уровни доверия я не видел, а вот 131 приказ разбирал подробно для 4 и 5 уровней. Там в принципе все понятно и доступно, если есть багаж знаний... А вот анализ уязвимостей и НДВ под эти уровни мне показались сложными

ТехТребования.
То есть, я правильно вас понял, для НЕ ГИСов все решается на основании ТЗ и применять СрЗИ без сертификата по уровню доверия/контроля применять можно, обеспечив соответствующую приёмку?

Настало время охренительных историй :)

Нет, это не так - никаких "если" текст приказа не допускает.

"29.2. Средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом "ж" пункта 10 настоящих Требований.

Не встроенные в общесистемное и прикладное программное обеспечение средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно к указанным требованиям должны соответствовать 6 или более высокому уровню доверия."

Это пункт который вступает в силу только с 23 года.

Нет, не решается, коллега ввел вас в заблуждение.

Требования к уровням доверия должны выполняться для всех наложенных СЗИ (второй процитированный абзац).
Требования профилей защиты должны применяться к тем наложенным СЗИ, к которым эти профили применимы (первый процитированный абзац).

На всторенные функции безопасности прикладного/системного ПО это требование не распространяется.

Более того, даже тогда он не распространяется на уже существующие системы.

Но до 23го года осталось не так уж много, и фактически закладывать бюджеты на его выполнение нужно прямо сейчас

Я тоже так это понял, но решил с Коллегами обсудить.

Но как я понимаю, не обязательно иметь сертифицированный СрЗИ, можно проверить уровень соответствия требованиям по доверию/контролю в форме испытаний / приёмки, верно?

Со словами попроще, и не забывайте - системы создаются сейчас...

Не обязательно, можно обойтись испытаниями, и для систем, которые по бумагам будут введены в в эусплуатацию до конца следующего года, можно выполнениями этих требований не заморачиваться.

Но на момент проверки у вас должны быть железобетонные свищдетельства того, что система введена в эксплуатаицю до 2023 года