СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн 2

В одной из предыдущих заметок  я приводил демонстрацию анализа и выбора мер защиты по новому комплекту документов (ПП 1119, Приказ ФСТЭК №21) на примере ИСПДн с общедоступными ПДн.

В комментариях к заметке было интересное обсуждение с читателями, в результате которого было высказано мнение, что исключать лишние меры можно на этапе адаптации базового набора мер, исходя из особенностей функционирования ИС в которой не актуальны угрозы для нейтрализации которых применяется данная мера.

Я решил рассмотреть ещё раз ту же задачу с теми же исходными данными и с приведенным выше подходом.

В варианте, когда модель угроз делается по собственной корпоративной методике и приводит к тому что все угрозы будут неактуальны – нам не интересен (перечень мер будет нулевым) и я далее его не рассматриваю.

Будем делать МУ по методическому документу ФСТЭК. Для данного примера я использую базовый перечень угроз + дополняю его парой угроз связанных с НДВ. Для примера их будет достаточно. А в реальной ИС, вы дополните всеми необходимыми угрозами, специфичными для Вас.

Напоминаю, что уровень исходной защищенности у меня получился низкий (Y1=10). Деталей расчета не привожу. Там всё очевидно и для своей ИС вы легко посчитаете.

Так-же я не привожу промежуточный анализ угроз и столбцы связанные с актуальными источником угроз, уязвимостями ИСПДн, способами реализации угроз, описанием объектов возможного воздействия угроз, описанием возможных деструктивных действий и последствий, перечень исходно применяемых контрмер и реализуемость угрозы (у меня нет цели давать вам готовый шаблон, в место этого хочу показать порядок действий, алгоритм). 

Вместо этого сразу перехожу к результатам моделирования угроз для ИСПДн в которой обрабатываются общедоступные ПДн: