Так считает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Свое мнение он высказал на Всероссийском форуме «ИнфоБЕРЕГ-2022».
Эксперт считает, что моделирование угроз существует не для галочки и должно происходить по методичке ФСТЭК России. По словам Лукацкого, даже если она и будет меняться, то никаких концептуальных изменений не произойдет.
«С точки зрения идеи в этой методике также всё начинается с определения негативных последствий для бизнеса. И ФСТЭК на всех мероприятиях говорит: «Позовите бизнес, узнайте у него, что ему важно и потом определите, какие события в ИT-инфраструктуре приведут к реализации этих негативных последствий. Это та же самая концепция недопустимых событий, которую сейчас Минцифры продвигает через 250-й Указ и 860-е Постановление, отдельные распоряжения и планируемые нормативные акты. Дальше на предприятии создается реестр их 3-5 недопустимых событий. К примеру, кража со счета компании 0,1% не является критичным событием, а кража с корсчета 15% — это событие недопустимое. Так что пороговое значение также будет влиять на допустимость и недопустимость», – объяснил бизнес-консультант.
.png)