DK
Андрей Степанов
На каком основании ты так своевольно трактуешь приказ? )
Наверное, на том основании, что приказ обязывает меня адаптировать этот набор мер, а потом дополнить его по результатам анализа угроз? :)
Size: a a a
2021 March 23
АС
Согласен, вольная
АС
Наверное, на том основании, что приказ обязывает меня адаптировать этот набор мер, а потом дополнить его по результатам анализа угроз? :)
Нет там угроз, если есть аттестат
АС
Ну, не должно быть )
S
Уход Заказчика к другому ЦОД, который предоставляет эти данные и выполняет требования 17 приказа
Ну это не совсем о ответственность ....
АС
Андрей Степанов
Нет там угроз, если есть аттестат
Ещё раз прочитайте пункт приказа, который я выше цитировал
АС
Пункт я читал. Мы все тут грамотные
DK
Андрей Степанов
Нет там угроз, если есть аттестат
Когда найдете подтверждение этому смелому тезису в нормативке - возвращайтесь, обсудим :)
S
На каком основании вы так интерпретируете четкие указания приказа? :)
Тогда к чему вообще аттестат выдавать?!
АС
Какой смысл их рассматривать, если они нейтрализованы
АС
Тогда к чему вообще аттестат выдавать?!
Логично )
DK
Андрей Степанов
Какой смысл их рассматривать, если они нейтрализованы
А с чего вы взяли, что они нейтрализованы? Вы не видели модели угроз и не можете знать, задумывался ли ЦОД о защите от них
АС
Когда найдете подтверждение этому смелому тезису в нормативке - возвращайтесь, обсудим :)
"аттестатор" не выдаст аттестат, если угрозы не нейтрализованы
АС
А с чего вы взяли, что они нейтрализованы? Вы не видели модели угроз и не можете знать, задумывался ли ЦОД о защите от них
Аттестат как бы подтверждает
DK
Андрей Степанов
"аттестатор" не выдаст аттестат, если угрозы не нейтрализованы
Аттест=татор, как и вы, ничего не знает об угроза, которые аттестуемый не рассмотрел в своей модели угроз.
АС
Тогда к чему вообще аттестат выдавать?!
Выше уже приводились проблемы ЦОДов, которые как раз и требуют рассматривать перечень актуальных угроз.
Например ЦОД аттестован по К2с но у него в модели угроз не рассматривались угрозы связанные с Web-порталами, а размещаемая система имеет веб-портал.
Тест образом, для размещаемой системы будут актуальны эти угрозы, но они не перекрыты в ЦОДе.
Например ЦОД аттестован по К2с но у него в модели угроз не рассматривались угрозы связанные с Web-порталами, а размещаемая система имеет веб-портал.
Тест образом, для размещаемой системы будут актуальны эти угрозы, но они не перекрыты в ЦОДе.
АС
Аттест=татор, как и вы, ничего не знает об угроза, которые аттестуемый не рассмотрел в своей модели угроз.
А вот тут не понял
АС
Есть ЦОД, есть у него угрозы, вот их и нейтрализуют
АС
Выше уже приводились проблемы ЦОДов, которые как раз и требуют рассматривать перечень актуальных угроз.
Например ЦОД аттестован по К2с но у него в модели угроз не рассматривались угрозы связанные с Web-порталами, а размещаемая система имеет веб-портал.
Тест образом, для размещаемой системы будут актуальны эти угрозы, но они не перекрыты в ЦОДе.
Например ЦОД аттестован по К2с но у него в модели угроз не рассматривались угрозы связанные с Web-порталами, а размещаемая система имеет веб-портал.
Тест образом, для размещаемой системы будут актуальны эти угрозы, но они не перекрыты в ЦОДе.
Веб-портал чей, ЦОДа?
АС
Андрей Степанов
Есть ЦОД, есть у него угрозы, вот их и нейтрализуют
Как вы выполнили пункт по «учету угроз актуальных для ЦОД»?