Моделирование угроз по новой методике ФСТЭК. В чем загвоздка?

Действительно, новая Методика оценки угроз ФСТЭК от 5 февраля 2021 г. кардинально отличается от прежней Методики определения актуальных угроз безопасности ПДн от 16 ноября 2009 г., а также от Методики определения актуальных угроз безопасности информации в КСИИ от 18 мая 2007 г. и заменяет собой эти методики. Она теперь используется, в частности, для моделирования угроз в ИСПДн, ГИС, ОКИИ и других типах систем. Никакой переемственности со старыми методиками в ней не прослеживается.

Данная методика опирается на Банк данных угроз безопасности информации (УБИ) ФСТЭК, который ведется ФСТЭК с 2015 г. и размещается в общем доступе по адресу: www.bdu.fstec.ru (далее - БДУ). В дополнение к этому для оценки УБИ рекомендуется использовать описание векторов атак, содержащихся в сторонних базах знаний, таких как CAPEC, ATT&CK, OWASP, STIX, WASC и др. 

Все казалось бы очень даже прогрессивно, но что же с ней не так? Что сдерживает проявления нашей радости и получение удовольствия от ее использования? Все по прежнему очень сильно запутано. К тому же мы пока не видели никакой базовой или эталонной модели угроз ФСТЭК, сделанной по новой методике, чтобы можно было судить о том, как она должна применяться на практике по замыслу ее разработчиков. Порассуждаем об этом чисто теоретически, на конкретных примерах.

Подробнее: http://www.iso27000.ru/blogi/aleksandr-astahov/modelirovanie-ugroz-po-novoi-metodike-fstek/