АС
ЦОД рассматривает только свои угрозы
Size: a a a
2021 March 23
АС
Андрей Степанов
Веб-портал чей, ЦОДа?
Перечитайте ещё раз, в сообщении явно указано кому принадлежит портал.
S
Выше уже приводились проблемы ЦОДов, которые как раз и требуют рассматривать перечень актуальных угроз.
Например ЦОД аттестован по К2с но у него в модели угроз не рассматривались угрозы связанные с Web-порталами, а размещаемая система имеет веб-портал.
Тест образом, для размещаемой системы будут актуальны эти угрозы, но они не перекрыты в ЦОДе.
Например ЦОД аттестован по К2с но у него в модели угроз не рассматривались угрозы связанные с Web-порталами, а размещаемая система имеет веб-портал.
Тест образом, для размещаемой системы будут актуальны эти угрозы, но они не перекрыты в ЦОДе.
Я это понял, значит надо выбирать тот ЦОД, который аттестован по тем требованиям, которые вы предъявляете, а не заставлять ЦОД переаттестовываться или вам свою конфи МУ передавать. Вы еще у Intel их МУ попросите)))
АС
Как вы выполнили пункт по «учету угроз актуальных для ЦОД»?
Если у ЦОД есть аттестат, то у него нет актуальных угроз
АС
Я это понял, значит надо выбирать тот ЦОД, который аттестован по тем требованиям, которые вы предъявляете, а не заставлять ЦОД переаттестовываться или вам свою конфи МУ передавать. Вы еще у Intel их МУ попросите)))
Нигде не написано, что надо передавать МУ
АС
Андрей Степанов
Если у ЦОД есть аттестат, то у него нет актуальных угроз
Крайне неверное выражение
DK
Андрей Степанов
Есть ЦОД, есть у него угрозы, вот их и нейтрализуют
Можно, я поступлю нечестно? Есть требование методички: вы обязаны или получить от ЦОД его модель угроз, или обязаны считать его считать скомпрометитрованным. Варианта "а у ЦОД же есть аттестат" в методике для вас нет, никаких исключений для аттестованных ЦОД методика не допускает.
Почему это так и почему это правильно - на эту тему была длительная дискуссия в рабочей группе.
Почему это так и почему это правильно - на эту тему была длительная дискуссия в рабочей группе.
АС
Можно, я поступлю нечестно? Есть требование методички: вы обязаны или получить от ЦОД его модель угроз, или обязаны считать его считать скомпрометитрованным. Варианта "а у ЦОД же есть аттестат" в методике для вас нет, никаких исключений для аттестованных ЦОД методика не допускает.
Почему это так и почему это правильно - на эту тему была длительная дискуссия в рабочей группе.
Почему это так и почему это правильно - на эту тему была длительная дискуссия в рабочей группе.
Там же вроде надо получить перечень актуальных угроз, а не всю модель угроз?
АС
Крайне неверное выражение
Аргументы?
АС
Можно, я поступлю нечестно? Есть требование методички: вы обязаны или получить от ЦОД его модель угроз, или обязаны считать его считать скомпрометитрованным. Варианта "а у ЦОД же есть аттестат" в методике для вас нет, никаких исключений для аттестованных ЦОД методика не допускает.
Почему это так и почему это правильно - на эту тему была длительная дискуссия в рабочей группе.
Почему это так и почему это правильно - на эту тему была длительная дискуссия в рабочей группе.
Получить МУ никто не мешает. Рассматривать нечего, нет актуальных угроз
АС
Андрей Степанов
Аргументы?
От того, что система аттестована по требованиям безопасности информации актуальными угрозы быть не перестают иначе от чего защищается система?
АС
Ммммм, смелое заявление
АС
С Положением и ГОСТ по аттестации знакомы?
DK
Андрей Степанов
Получить МУ никто не мешает. Рассматривать нечего, нет актуальных угроз
И дальше читаем второй абзац п. 12.7,
АС
Я же не против. Учитывать нечего. Ну, получите МУ, ну посмотрите, никто не против
АС
Ваша логика такая - систему защиты я построил, но она всё равно ни от чего не защищает
АС
От того, что система аттестована по требованиям безопасности информации актуальными угрозы быть не перестают иначе от чего защищается система?
Ваша
АС
Андрей Степанов
Ваша логика такая - систему защиты я построил, но она всё равно ни от чего не защищает
Неверно. Система защиты нейтрализует актуальные угрозы безопасности информации или стремится свести возможность эксплуатации этих угроз к нулю.
От того, что система защиты выстроена актуальными угрозы быть не перестают ещё раз :)
От того, что система защиты выстроена актуальными угрозы быть не перестают ещё раз :)
АС
А слово нейтрализация тогда что означает?
АС
Андрей Степанов
А слово нейтрализация тогда что означает?
Что невозможно проэксплуатировать актуальные угрозы