Student00
21-08-2013, 06:15
Товарищи.
Помогите, пожалуйста, разобраться в нескольких моментах написания модели угроз по ФСТЭК.
Исходные данные:
- Постановление Правительства РФ от 01.11.2012 N 1119
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год
---
Согласно ПП 1119:
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Моя цель через модель угроз исключить эти угрозы что бы понизить класс.
Модель угроз я составляю по такой схеме:
1. Описание всех угроз, согласно Базовой модель угроз
2. Оценка их актуальности согласно Методики.
Поскольку я впервые составляю МУ, то выходить за рамки этих документов мне сложновато.
НО в базовой МУ я ну никак не нашел описание НДВ. И вот не знаю, как мне выйти на них в частной МУ.
Помогите, пожалуйста, разобраться в нескольких моментах написания модели угроз по ФСТЭК.
Исходные данные:
- Постановление Правительства РФ от 01.11.2012 N 1119
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год
---
Согласно ПП 1119:
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Моя цель через модель угроз исключить эти угрозы что бы понизить класс.
Модель угроз я составляю по такой схеме:
1. Описание всех угроз, согласно Базовой модель угроз
2. Оценка их актуальности согласно Методики.
Поскольку я впервые составляю МУ, то выходить за рамки этих документов мне сложновато.
НО в базовой МУ я ну никак не нашел описание НДВ. И вот не знаю, как мне выйти на них в частной МУ.