Контакты
Подписка
МЕНЮ
Контакты
Подписка

Модель угроз - Форум по вопросам информационной безопасности

Модель угроз - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Artem, CRB | 91690 23.04.2018 12:37
Коллеги безопасники подскажите, может, кто сталкивался в своих организациях. Возложили на меня обязанности по ИБ и нужно подготовить модели угроз для ИСПДн, но проблема в том, что организация большая и тут ИСПДн порядка 40 штук, неужели нужно на каждую нужно делать Частную модель угроз??? или можно их как-то объединить и сделать общую??? Ответьте, может кого-то уже ФСТЭК проверяла с такой моделью угроз?

Автор: 9streb | 91698 23.04.2018 14:56
Опишите систему.....
А вообще если они однотипны и несвязаны между собой, то и одна может подойти.

Автор: Artem, CRB | 91700 23.04.2018 15:07
Медицинский центр, с филиалами в разных городах, ИСПДн не связаны между собой, но обрабатывают схожу информацию (данные о диагнозе или о пациенте). Единственной есть часть ИСПДн обрабатывающие служебную инфу (о работниках). Есть мысль объединить всё в две большие ИСПДн "Сотрудники" и "Пациенты" и на них уже составить модель угроз, но не знаю, прокатит ли так для ФСТЭК.

Автор: 9streb | 91702 23.04.2018 15:15
ну выделить испдн "сотрудники" можно и рассмотреть надо как сеть ас (если они связаны между собой)
по пациэнтам, если помещения однотипные, нарушители одинаковые и т.д, то можно описать ИСПД "пациенты 1...Н" и указать, что для них используется модель угроз "пациенты"

Автор: oko | 91709 23.04.2018 21:14
to Artem
1. Базовая Модель Угроз для всей организации в целом. Учесть не только ПДн, но и иную ИОД (КТ, КИ аля ДСП и т.д.)
2. От Базовой сделать Частные модели угроз ПДн под каждую ИСПДн, либо под типовую ИСПДн (те же ИСПДн "Сотрудники" и ИСПДн "Пациенты").
3. В исключительных случаях, когда техпроцесс в конечной частной ИСПДн ну очень отличается от того, что прописано в Базовой модели, сформировать Частную модель под конкретную ИСПДн (какого-нибудь филиала с. Кукуево).
Вот так оно по логике вещей делается. Остальное - фантазия авторов остального. ФСТЭК не придерется, поскольку МУ пока оформляются по собственному видению и желанию владельца ИОД (вернее, лицензиата, выполняющего для него работы, ага)...

Автор: Artem, CRB | 91717 24.04.2018 08:53
Большое спасибо, за помощь

Просмотров темы: 1895

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*