Кто там методику моделирования угроз ждет?..

Валерий Комаров (@ValeriyKomarov_ ) пишет у себя в ФБ, что по словам А.Кубарева (ФСТЭК) у них очередная смена концепции по поводу моделирования угроз и соответствующая методика будет нескоро и в каком виде непонятно :-(
— Alexey Lukatsky (@alukatsky) September 17, 2020

Две части и ответы на вопросы Кубарева А. на конфе по кибербезопасности АСУ ТП КВО. Спасибо Валерию Комарову за запись
https://www.youtube.com/watch?v=VvWNfW2kgTM
https://youtu.be/jSQbsqRT1kQ
https://youtu.be/ywgeeUldiG8

А какие конкретно мнения были проигнорированы?)

Про невыполнимость требований по УД6, про анализ безопасности всех прикладных систем и т.п. На regulations можно посмотреть отзывы и комментарии регулятора

Потому что все дружно пишут низкий потенциал и баста

Безопасник ВСЕГДА занижает уровень/потенциал/и т.д. :)

а интегратор всегда завышает :)

Эти предложения изначально были мертвыми

По мнению Кубарева А.В.  эти работы по плечу специалистам объектов без лицензиатов. И проверка для сппо - экспертно документальным методом.

Имхо будет формальная проверка. Лабуда с заголовком "Архитектура ПО", "Описание интерфейсов", отчёт из бесплатного статического анализатора и т.д.

пусть найдут попробуют найдут бесплатный фаззер отчет. даже бесплатный анализатор лучше никакого

Ещё бы что-то делать с этими отчётами..

Нет, потому что она корявая

В смысле мертвыми? Они вполне конкретные и реальные. Только регулятор посчитал, что он лучше знает, могут СуКИИ выполнить новые требования или нет

они основному смыслу изменений противоречат )

И не регулятор же был инициатором .. "Приказ разработан для исполнения поручений президента по итогам специальной программы «Прямая линия с Владимиром Путиным» 20 июня 2019 года. Во время «прямой линии» президент сказал, что власти должны обеспечить рынок для российских программистов в чувствительных отраслях для безопасности и суверенитета, а также заявил, что в целях импортозамещения российские корпорации нужно «заставить» закупать именно отечественные программные продукты."

Может так и должно быть? Может это нормативка должна следовать за бизнесом, а не устанавливать нереализуемые цели?

Офигительное обоснование. А если бы мальчик Петя попросил на прямой линии с Президентом закрыть АвтоВАЗ и уже закопать стюардессу? Я помню неоднократные хотелки прежнего и нынешнего Президента, которые игнорировались, игнорируются и будут игнорироваться регуляторами

Думаю, что закручивание гаек только начинается