Автор: WORM, MK | 63531 | 07.06.2016 18:00 |
"Т.е. принять как факт, что НДВ в применяемых в ИСПДн технчиеских средствах и ОС/ПО отсутствуют - тогда 3 тип, присутствуют в ПО - 2 тип, присутствуют в ОС/драйверах/службах или ТС - 1 тип"
Не могу понять, почему актуальность угроз НДВ нужно принимать, как факт, а не оценивать их актуальность по действующей "Методике ..." 2008 г. Откуда следует, что данная методика не позволяет оценить актуальность угроз НДВ? Что этому препятствует? Наличие НДВ в ПО - это разновидность угроз несанкционированного доступа к информации. Кто вам сказал, что это что-то особенное? В чем вы видите ущербность следующего алгоритма: 1. Строим МУ (оценивая сразу все угрозы, включая НДВ). 2. Определяем УЗ. 3. Выбираем меры. 4. Выполняем меры (ставим СЗИ + проводим оргмероприятия). 5. Оцениваем эффективность защиты. 6. Эксплуатируем ИСПДн. |
Автор: DN, IT | 81521 | 01.11.2017 19:34 |
коллеги, может я что пропустил, но подскажите, почему при обсуждении этой темы упоминается только 21 приказ, ведь в ДАНО явно было указано, что ИСПДн муницимальная, т.е. ГИС, а это на мой взгляд 17 приказ... что здесь не так?
|
Автор: malotavr | 81523 | 01.11.2017 23:07 |
Все так, есть даже информационное сообщение ФСТЭК, что для гос. и муниципальных ИСПД рекомендуется руководствоваться приказом 17, благо оба приказа аналогичны по требвованиям
|
Автор: Константин | 81737 | 03.11.2017 21:19 |
Ну что все так?! Это вообще-то разные вещи мунипальная информационная система и ИСПДн в муниципальном органе.
Не вводите людей в заблуждение! |
Автор: allgood | 83453 | 10.12.2017 13:32 |
Константин,
а как же тогда быть с частью 1 статьи 13 ФЗ-152? |
Просмотров темы: 22322