Не купить или внедрить СЗИ, а закрыть актуальные угрозы мерами

Дмитрий, ну это опять додумки какие-то в целях спора. Реализация меры - это полноценная реализация меры. Если должно быть МЭ и сегментирование, то должны быть все необходимые настройки, а не просто куплена мигающая коробка. Вы это понимаете, я это понимаю - зачем так подавать информацию? Потому что не все так делают? Ну мы же не об этом, да и в изначальном тексте сказано, что проверка скажет, что средства защиты не защищают и вернемся к пункту 1. Все-таки не к пункту 1, а к донастройке средств защиты - это все-таки разные вещи.

Именно.

Конкретный пример:  аттестованная ГИС, веб интерфейс. В модели угроз - атаки с использованием уязвимостей веб-интерфейса. Мера защиты - СОВ.1, реализована внедрением сигнатурной IDS. Система аттестована. Результат проверки - нарушение: сигнатурная IDS в принципе не может обеспечить защиту от этой угрозы.

Вопрос кто выбрал данную меру

И кто выдал аттестат

Она базовая для всех классов ГИС :) А вот ее реализацию выбирал профан

лицензиат подтвердил аттестом нейтрализацию этой угрозы

Выбрал профан и аттестовал тоже видимо профан

осталось выяснить как назвать того, кто лицензию выдал профану

Пример тотального профанства, только причем тут этот пример и наше обсуждение

А как вы собираетесь определять, какие настройки необходимы? Чтобы сказать, что на портах коммутаторов нужно включить Port Security, нужно вспомнить про ARP Spoofing, а это - моделирование угроз. Без него необходимость Port Security из НПА не следует.

И что это показывает? В  ИБ много профанов, непонимающих какими мерами закрывать те или иные угрозы? Сплошь и рядом

Я уверен, что вы знаете как. Даже вот совсем если абстракное описание инфраструктуры дать, то многие скажут что и где поставить и что как настроить (в общих чертах, конечно, детали при полной картине инфраструктуры).
Все вендоры на рынке ведь предлагают смело частные или комплексные решения для защиты объектов КИИ, а не говорят, что нет-нет, нельзя покупать тот или иной продукт, мы вам продадим свой только после того, как покажете нам анализ векторов угроз

Я открою Вам тайну. IDS вообще не защищает от веб- атак, она их только обнаруживает. А для защиты нужен WAF и штат 24/7 для мониторинга :)

Это - его личные проблемы, от которых проверяемому легче не становится :)

Еще как легче

На меня только стрелки не переводите :) Я знаю как, потому что я сперва моделирую угрозыю Таки е очевидные - в голове, но вся совокупность известных способов атак и в моей голове не умещается. Нужно моделмировать угрозы, и исходя из них выбирать реализацию мер защиты

Так косяк аттестатора не снимает ответственности с оператора системы :)

не должны быть его личные проблемы. Это проблема ФСТЭК должна быть. Почему орган аттетсации лицензиата профанацией занимается

ну вот опять. Вы же знаете про большую часть необходимых настроек безопасности, про все эти best practicies, харденинг, принцип минимальных полномочий и т.д. Есть, например, стандарты для промышленных компонентов от Siemens, есть разные гайды линии Cisco SAFE и т.д., те же CIS critical выходят регулярно. Такие базовые вещи закроют большую часть векторов и, что более важно, это нужно делать практически всегда, так как это необходимый минимум. Бери и делай, без бумажных кирпичей.