""П1.3.300 Построение модели угроз"" Что такое модель угроз? Модель угроз – это совокупность предположений о возможных угрозах и возможностях нарушителя, которые он может использовать для разработки и проведения атак в рамках разрабатываемой системы. ![](ris1.jpd) Какова цель написания дакумента? Целью моделирования угроз безопасности информации является выявление совокупности условий и факторов, которые приводят или могут привести к нарушению безопасности обрабатываемой в системах и сетях информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и т.д., а также к нарушению или прекращению функционирования систем и сетей Федеральные законы которые регламентируют написание документа: Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 09.03.2021); Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»; Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119; Требования к защите автоматизированных систем управления субъектов критической информационной инфраструктуры в соответствии с положениями Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; 17 приказ ФСТЭК - что содержится в модели: Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Важные моменты: Описание информационной системы; Структурно-функциональные характеристики; Описание угроз безопасности; Модель нарушителя; Возможные уязвимости; Способы реализации угроз; Последствия от нарушения свойств безопасности информации.