15-09-2022 17:13
Известная ОКР-проблема "закрыл ли я входную дверь" или "выключил ли утюг" с точки зрения ИБ решается просто: заводим "журнал вскрытия помещения" и "журнал включения утюга". В электронном виде, на смартфоне. Выключил утюг - поставил отметку в журнал. Закрыл дверь - отметка, дата, подпись. Чё сложного-то.
Комментарии:
vvol
15-09-2022 17:42
Дневник • Хочухи • Профиль
я представляю, выметаюсь я из квартиры с 5 сумками и тут только смартфон доставать зубами из кармана))
Гыгыгы. А мне такая ОКР проблема не знакома, я теоретически в любой момент могу посмотреть, что дома включено и закрыта ли дверь. Умный дом.
Но это теоретически, потому как реально датчик на замок входной двери не ставил, я ж не параноик. А вот выключить дистанционно утюг могу.
Но это теоретически, потому как реально датчик на замок входной двери не ставил, я ж не параноик. А вот выключить дистанционно утюг могу.
Говорят, некоторые фотографируют)). Перед выходом из дома сфоткал утюг, плиту)).
Wildberry ну, если на фотке штамп времени, это то же самое.
MMM не, ну это высший окр-пилотаж.
MMM не, ну это высший окр-пилотаж.
Ну а я уже неоднократно ночевала в квартире с ключами "наружу" 🤦
А вот ключи наружу я практикую иногда, да, Snow 
Когда предстоит поездка-коммандировка или что-то подобное - я составляю подробный чеклист, который заполняю перед выходом из дома:)
pakt сложно то, что к окр отношения не имеет. а телефон разрядится? а журнал не прогрузится? а база проипётся? вариант MMM более жизнеспособен, но при условии дублирующей системы, на случай если основная будет недоступна ;)
greshnaya "к окр отношения не имеет" - ну шутка же.
"а телефон разрядится"? - повербанк.
"а журнал не прогрузится"? - локальная копия на телефоне.
"а база проипётся"? - резервное копирование.
"а телефон разрядится"? - повербанк.
"а журнал не прогрузится"? - локальная копия на телефоне.
"а база проипётся"? - резервное копирование.
pakt а! не поняла ;)
но с точки зрения окр ты счас список тревожности еще увеличил на проверку банка, настройку и проверку копирования на несколько носителей. нудная, я знаю ;)
но с точки зрения окр ты счас список тревожности еще увеличил на проверку банка, настройку и проверку копирования на несколько носителей. нудная, я знаю ;)
greshnaya журнал зарядки банка, и журнал резервного копирования. И вот щас я не шучу, ИБ так и работает. А то, что ты перечисляешь - это модель угроз безопасности. Которая составляется заранее, и риски оцениваются по степени вероятности их наступления. Разумеется, ещё должны быть инструкции - по включению утюга, допуску в помещение и резервного копирования. На утюг - техпаспорт. На инструмент резервного копирования - сертификат. Ну и положение ещё, описывающее модель угроз, и набор инструкций с журналами. И ещё инструкцию на нештатные ситуации. И ешё инструкцию на плановую замену утюга.
pakt я вот сейчас впервые задумалась, что могла бы выбрать другую специальность. 85% перечисленного у меня обычно есть и так.
а где нибудь пишут про модели угроз на русском, человеческим языком?
а где нибудь пишут про модели угроз на русском, человеческим языком?
greshnaya на русском - да, на человеческом - почти.
Модель угроз — описательное представление свойств или характеристик угроз безопасности информации.
Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Законодательство предъявляет требования по защите информации, одно из них – определение вероятных угроз.
Соответственно, модель угроз — это документ, назначение которого— определить угрозы, актуальные для конкретной системы (частная модель угроз). Только по факту наличия у организации подобного документа законодательные требования по моделированию будут выполнены.
Содержимое модели угроз полностью описано новой методикой оценки ФСТЭК, выпущенной 5 февраля 2021. Методика диктует следующие требования к содержанию модели:
- определить все последствия, которые могут возникнуть в случае использования угроз (ущерб рядовым гражданам или компаниям, ущерб государству);
- определить все возможные объекты для атак, перечислить функционирующие в системы и сети, каналы связи;
- оценить возможности вероятных злоумышленников, иными словами – определить источники атак;
- оценить способы атак, вероятные для исследуемой системы;
- оценить возможности по выполнению атак и определить актуальность угроз;
- оценить вероятные сценарии атак в Ваших сетях.
Это обобщённое наполнение реальной модели угроз, но всё же дословно следовать этому списку не следует. При разработке собственного документа можно и нужно опираться на приложение 3 методики ФСТЭК:
Введение.
Описание систем и сетей. Должен включать в себя наименования, классы защищённости, задачи, бизнес-процессы, архитектуру, описание групп пользователей, интерфейсов нормативно-правовую базу функционирования конкретных систем, в общем, исчерпывающую информацию о всех функционирующих системах и сетях.
Возможные последствия.
Должен содержать описание видов ущерба, актуальных для владельца ИС, а также негативных последствий, которые повлекут за собой описанный ущерб.
Возможные объекты воздействия.
Требуется наличие наименований и назначения компонентов систем и сетей, воздействие на которые может привести к нежелательным последствиям.
Источники.
Должен включать категории возможных нарушителей, их характеристику и возможности.
Способы.
Здесь необходимо описать способы реализации угроз, которые могут быть использованы возможными нарушителями, а также описать интерфейсы, через которые наиболее вероятные нарушители могут реализовать атаки.
Актуальные угрозы.
Финальный список всех возможных угроз, составленный на основе всех предыдущих глав. Также должен включать описание вероятных сценариев реализации и выводы об актуальности угроз.
Главы 2–5 методики ФСТЭК дают исчерпывающие рекомендации по разработке каждого элемента модели угроз. Приложения 4–11 дают примеры таблиц, которые должны быть приведены в документе, опираясь на них, вполне возможно создать собственную модель угроз.
Подводя итоги: модель угроз — это один из главных элементов всего пакета внутренних документов ИБ, который должен содержать выявление вероятных угроз для Вашей информационной системы. Требования к структуре и содержанию предъявляет методика оценки угроз безопасности информации ФСТЭК, она же даёт подробные рекомендации по разработке частной модели угроз.
(на практике в госороганизациях модель угроз рисуется для галочки, т.е. для бумажной безопасности, на похер. Более-менее вменяемую модель угроз делают для госсистем, потому что приходится согласовывать её с регулятором - фстэк, они откровенную халтуру зарубят).
Модель угроз — описательное представление свойств или характеристик угроз безопасности информации.
Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Законодательство предъявляет требования по защите информации, одно из них – определение вероятных угроз.
Соответственно, модель угроз — это документ, назначение которого— определить угрозы, актуальные для конкретной системы (частная модель угроз). Только по факту наличия у организации подобного документа законодательные требования по моделированию будут выполнены.
Содержимое модели угроз полностью описано новой методикой оценки ФСТЭК, выпущенной 5 февраля 2021. Методика диктует следующие требования к содержанию модели:
- определить все последствия, которые могут возникнуть в случае использования угроз (ущерб рядовым гражданам или компаниям, ущерб государству);
- определить все возможные объекты для атак, перечислить функционирующие в системы и сети, каналы связи;
- оценить возможности вероятных злоумышленников, иными словами – определить источники атак;
- оценить способы атак, вероятные для исследуемой системы;
- оценить возможности по выполнению атак и определить актуальность угроз;
- оценить вероятные сценарии атак в Ваших сетях.
Это обобщённое наполнение реальной модели угроз, но всё же дословно следовать этому списку не следует. При разработке собственного документа можно и нужно опираться на приложение 3 методики ФСТЭК:
Введение.
Описание систем и сетей. Должен включать в себя наименования, классы защищённости, задачи, бизнес-процессы, архитектуру, описание групп пользователей, интерфейсов нормативно-правовую базу функционирования конкретных систем, в общем, исчерпывающую информацию о всех функционирующих системах и сетях.
Возможные последствия.
Должен содержать описание видов ущерба, актуальных для владельца ИС, а также негативных последствий, которые повлекут за собой описанный ущерб.
Возможные объекты воздействия.
Требуется наличие наименований и назначения компонентов систем и сетей, воздействие на которые может привести к нежелательным последствиям.
Источники.
Должен включать категории возможных нарушителей, их характеристику и возможности.
Способы.
Здесь необходимо описать способы реализации угроз, которые могут быть использованы возможными нарушителями, а также описать интерфейсы, через которые наиболее вероятные нарушители могут реализовать атаки.
Актуальные угрозы.
Финальный список всех возможных угроз, составленный на основе всех предыдущих глав. Также должен включать описание вероятных сценариев реализации и выводы об актуальности угроз.
Главы 2–5 методики ФСТЭК дают исчерпывающие рекомендации по разработке каждого элемента модели угроз. Приложения 4–11 дают примеры таблиц, которые должны быть приведены в документе, опираясь на них, вполне возможно создать собственную модель угроз.
Подводя итоги: модель угроз — это один из главных элементов всего пакета внутренних документов ИБ, который должен содержать выявление вероятных угроз для Вашей информационной системы. Требования к структуре и содержанию предъявляет методика оценки угроз безопасности информации ФСТЭК, она же даёт подробные рекомендации по разработке частной модели угроз.
(на практике в госороганизациях модель угроз рисуется для галочки, т.е. для бумажной безопасности, на похер. Более-менее вменяемую модель угроз делают для госсистем, потому что приходится согласовывать её с регулятором - фстэк, они откровенную халтуру зарубят).