Давайте посмотрим на описания, угроз, которые последние год-два публиковались регуляторами по ИБ.
· Угрозы из методических рекомендаций ФСБ, утвержденных 31 марта 2015 года № 149/7/2/6-432
Почему подходы к описанию угроз и сами угрозы настолько различаются? Даже в рамках одного регулятора – Банка России – нет согласия. Какого же приходится организациям, пытающимся совместить все эти требования и рекомендации? Какая-то мешанина получается.
С моей точки зрения подход, в котором описание угрозы включает (объект воздействия, используемая слабость / уязвимость, способ воздействия, возможные последствия) является оптимальным. БДУ ФСТЭК этому соответствует.
Что помешало ЦБ использовать БДУ при описании угроз? Если не хватало каких-то угроз, можно было бы добавить – ФСТЭК обещали периодически пополнять БДУ.
