Давно хотел обсудить вопрос о неактуальных угрозах.
Допустим мы провели в Компании моделирование угроз (оценку рисков связанных с этими угрозами) в соответствии с РД по ФСТЭК, ISO 27005-2008 или РС БР ИББС-2.2-2009. В результате мы получили 2 перечня – перечень актуальных угроз (неприемлемых рисков) и перечень неактуальных угроз (приемлемых рисков). При этом часть неактуальных угроз получилась в результате того, что в Компании уже применяются определенные меры обеспечения ИБ (организационные, технические, СЗИ).
Далее, в большинстве случаев, про перечень неактуальных угроз забывается, работа идет только с перечнем актуальных угроз, на основе него создается план мероприятий по защите (обработки неприемлемых рисков), ТЗ на систему обеспечения ИБ, в проекте на система обеспечения ИБ описывается меры необходимые для выполнения ТЗ и нейтрализации актуальных угроз. С одной стороны всё логично. Никаких требований или рекомендаций связанных с неактуальными угрозами нет.
С другой стороны такая ситуация опасна. Допустим, на момент анализа угроз в организации проводились оргмеры по обеспечению доверенности администраторов (полиграф), видеоконтроль помещения или прокси-сервер фильтрующий трафик. Эти меры повлияли на оценку угроз (рисков), но в дальнейшем ни в один план, ТЗ, проект или описание системы защиты не попали, так как риски связанные с угрозами определены приемлемыми. Через некоторое время эти меры могут быть отменены за ненадобностью, потому что не требуются внутренними документами.
Коллеги, как думаете нужно поступать с контрмерами по неактуальным угрозам? В каких документах их фиксировать и как обеспечить чтобы про их необходимость не забыли?
