Не, сначала все четко и логично.  Но когда дошла до "Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации" - резко поплохело.  По каждой угрозе из БДУ мини-сочинение выкладывать? как то в голове не укладывается схема. Особенно, если подумать, что для любой мало-мальской испдн это нужно будет делать.  Но может это пока в теории так, а на практике все будет стройно и красиво

У меня 400 окии. На каждый надо писать му?

Да. При модернизации, но так или иначе на каждый рано или поздно ее сделать придется.

З.Ы. на значимые, естественно

Вы считаете это разумным и реальным сделать одному человеку? А этот человек ещё должен поддерживать все му  в актуальном состоянии!
Ну это ж чисто бумажная безопасность, т.е. то, за что Лютиков раздражается, когда говорят что ФСТЭК именно этим и занимается

Вы считаете это разумным и реальным сделать одному человеку? А этот человек ещё должен поддерживать все му  в актуальном состоянии!
Ну это ж чисто бумажная безопасность, т.е. то, за что Лютиков раздражается, когда говорят что ФСТЭК именно этим и занимается

Я считаю, что ФСТЭК вместе с методикой должен был выпустить бесплатное СПО для автоматизации всей этой писанины. Вот тогда это была бы более менее реальные шаги к реальной безопасности

ТЗ и проектную документацию на систему защиты вы тоже в одиночку делаете? Проектирование системы - задача для проектной команды, а анализ угроз - часть проектной работы.

Т.е. ФСТЭК должна за вас решить, какие негативные последствия у вас могут быть?

Т.е. ФСТЭК должна за вас решить, какие негативные последствия у вас могут быть?

Моделирование угроз будет направлено только на генерацию пыльных кирпичей. Все равно Система защиты будет строится от бюджета, которого нет. И модель угроз на 100500 непонятных страниц не поможет его обосновать. Моделирование ради моделирования.

Я не только за себя говорю, но с КИИ это только мне нужно. И так почти везде, все зависит от степени посвещенности рукоаодства

Т.е. ФСТЭК должна за вас решить, какие негативные последствия у вас могут быть?

Моделирование угроз будет направлено только на генерацию пыльных кирпичей. Все равно Система защиты будет строится от бюджета, которого нет. И модель угроз на 100500 непонятных страниц не поможет его обосновать. Моделирование ради моделирования.

Не, погодите. С КИИ вам это не нужно, пока не начнется модернизация очередного ЗОКИИ. Когда начнется модернизация, вы поручите ее подрядчику - вы же не сами проектируете систему безопасности? Если вы выбираете компетентного подрядчика, что мешает включить в состав работ разработку модели угроз и проконтролировать, чтобы там не было лажи? Если ваш подрядчик не имеет представления о том, какие угрозы могут быть у вас реализованы, о какой безопасности в такой системе мы вообще разговариваем?

Иными словами лицензионщики сидят на голодном пайке?)

Иными словами лицензионщики сидят на голодном пайке?)

МУ хотя бы вообще должна появиться

Я так и не услышал, что вам мешает включить анализ угроз в состав работ по созданию/модернизации системы, как того требует приказ 239 :)

Я так и не услышал, что вам мешает включить анализ угроз в состав работ по созданию/модернизации системы, как того требует приказ 239 :)