Почему никто не читает полностью ? "Положения настоящей Методики применяются для оценки угроз
безопасности информации в системах и сетях, решение о создании или
модернизации (развитии) которых принято после даты ее утверждения, а также
в эксплуатируемых системах и сетях"

Дмитрий, не подскажите (если есть информация) как быть с госсистемами, у которых МУ в процессе согласования, уже ГК заключён, МУ разработана по старым методикам и направлена во  ФСТЭК?

Если для них уже есть утвержденная модель угроз. Если не успели утвердить до 5 февраля (даже если одной подписи не хватило), то всё.

Не только читаем, но и помним, с какой периодичностью анализ угроз проводится для эксплуатируемых систем и сетей. С какой захочет оператор :)

мало кто утверждает до получения согласования от ФСТЭК.

Дим, ну не серьезно. Есть 239 приказ, который требует создать МУ по новой методике. Вот не смешно ни разу

Я это понимаю ;-). Это реплика Дмитрию.

Так оно и предыдущие три с половиной года, когда на него болт клали, было ни фига не смешно

Это проблема для интеграторов, документ переписывать, пересогласовывать, сроки ГК срываются

и дальше положат. толкьо уже по объективным причинам.

Поэтому реалистичная оценка - 10-15 лет с применением кнута :) И это лучше, чем вариант "не будем ничего делать, пока не разработаем идеальную методику" :)

идеальную методику они не разработают никогда. Идеальная методика учитывает целевую аудиторию применения, условия применения и стоимость применения.

Обязательно сообщать в НКЦКИ о мелких инцидентах, скажем пришел на почту пользователя файл с вирусом, антивирус его штатно отработал, последствий никаких?

Информировать нужно о компьютерных инцидентах

Поэтому реалистичная оценка - 10-15 лет с применением кнута :) И это лучше, чем вариант "не будем ничего делать, пока не разработаем идеальную методику" :)

Нет, ты никакие факторы не учитываешь. Ты просто предлагаешь переставить очередность без какого-либо выигрыша.

Ты предлагаешь сперва обкатать моделирование угроз на самых сложных системах, в которых и угрозы масштабные, и инфраструктура побольше, и затраты на ИБ нужны побольше. А потом трудности этих проектов и способы их решения транслировать на системы попроще. Это фигня, так никто не делает.

Вообще обычно делают наоборот,  начинают с чего-то простого и постепенно усложняют. Но сказать "парни, защищайте сперва маленькие системы и только потом беритесь за жизненно важные" правильно методически, но неправильно политически.

Поэтому предложен компромиссный вариант "берите понемногу разного"