четверг, 6 июня 2013 г.

Маловероятные угрозы

Пишу модель угроз, так сказать, с чистого листа. Дело достаточно нудное, но интересное. Но суть не в моей модели. В процессе написания, естественно, помогает товарищ Гугл! Куда же без него=)
Ну так вот, открыто у меня порядка 5-7 моделей, не считая моей. Из каждой выбираю лучшее, более понравившееся, редактирую, перефразирую для благозвучия. Ну, процесс знаком всем. Но модели до конца не листал. А тут решил.. И попалась мне под руку модель угроз муниципального автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг» муниципального образования «Город Глазов».
И все бы ничего, да вот только из 24 описанных в модели угроз только у трех низкая вероятность возникновения. Остальные маловероятны (по методике определения актуальных угроз это значит, что отсутствуют объективные предпосылки для реализации угрозы, Y2=0). Ну, здесь принцип понятен. Если угроз по минимуму, то и защищаться надо по минимуму.
Начав дальше вчитываться в описание угроз, я нашел вот что (привожу в оригинале):

12. Недекларированные возможности системного ПО и ПО для обработки персональных данных.
            Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
            В Учреждении есть/нет программного обеспечения разрабатываемого собственными разработчиками/сторонними специалистами.
Вероятность реализации угрозы – низкая.

Почему составитель данной модели сначала говорит о ПО, а в описании НДВ только о СВТ? Вообще, странная модель, много в ней интересного, если вчитаться.

Найти в гугле ее можно по запросу "модель угроз город глазов"

ЗЫ. Я понимаю, что я сам не мастер и не эксперт в написании документации. Но читать же надо, если модель пишется по принципу копипаста. 

Комментариев нет:

Отправить комментарий