Пишу модель угроз, так сказать, с чистого листа. Дело достаточно нудное, но интересное. Но суть не в моей модели. В процессе написания, естественно, помогает товарищ Гугл! Куда же без него=)
Ну так вот, открыто у меня порядка 5-7 моделей, не считая моей. Из каждой выбираю лучшее, более понравившееся, редактирую, перефразирую для благозвучия. Ну, процесс знаком всем. Но модели до конца не листал. А тут решил.. И попалась мне под руку модель угроз муниципального автономного учреждения «Многофункциональный
центр предоставления государственных и муниципальных услуг» муниципального
образования «Город Глазов».
И все бы ничего, да вот только из 24 описанных в модели угроз только у трех низкая вероятность возникновения. Остальные маловероятны (по методике определения актуальных угроз это значит, что отсутствуют объективные предпосылки для реализации угрозы, Y2=0). Ну, здесь принцип понятен. Если угроз по минимуму, то и защищаться надо по минимуму.
Начав дальше вчитываться в описание угроз, я нашел вот что (привожу в оригинале):
12. Недекларированные возможности
системного ПО и ПО для обработки персональных данных.
Недекларированные возможности –
функциональные возможности средств вычислительной техники, не описанные
или не соответствующие описанным в
документации, при использовании которых возможно нарушение конфиденциальности,
доступности или целостности обрабатываемой информации.
В
Учреждении есть/нет программного обеспечения разрабатываемого собственными
разработчиками/сторонними специалистами.
Вероятность реализации угрозы – низкая.
Почему составитель данной модели сначала говорит о ПО, а в описании НДВ только о СВТ? Вообще, странная модель, много в ней интересного, если вчитаться.
Найти в гугле ее можно по запросу "модель угроз город глазов"
ЗЫ. Я понимаю, что я сам не мастер и не эксперт в написании документации. Но читать же надо, если модель пишется по принципу копипаста.
Комментариев нет:
Отправить комментарий