|
|
@@ -0,0 +1,35 @@
|
|
|
+""П1.3.300 Построение модели угроз""
|
|
|
+ Что такое модель угроз?
|
|
|
+ Модель угроз – это совокупность предположений о возможных угрозах и возможностях нарушителя,
|
|
|
+которые он может использовать для разработки и проведения атак в рамках разрабатываемой системы.
|
|
|
+
|
|
|
+ Какова цель написания дакумента?
|
|
|
+ Целью моделирования угроз безопасности информации является выявление совокупности условий и факторов,
|
|
|
+которые приводят или могут привести к нарушению безопасности обрабатываемой в системах и сетях информации
|
|
|
+(нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и т.д.,
|
|
|
+а также к нарушению или прекращению функционирования систем и сетей
|
|
|
+ Федеральные законы которые регламентируют написание документа:
|
|
|
+ Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 09.03.2021);
|
|
|
+
|
|
|
+Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»;
|
|
|
+
|
|
|
+ Требования к защите персональных данных при их обработке в информационных системах персональных данных,
|
|
|
+утвержденные постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119;
|
|
|
+
|
|
|
+ Требования к защите автоматизированных систем управления субъектов критической информационной инфраструктуры
|
|
|
+в соответствии с положениями Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
|
|
|
+17 приказ ФСТЭК - что содержится в модели:
|
|
|
+ Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик,
|
|
|
+а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя),
|
|
|
+возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
|
|
|
+ Важные моменты:
|
|
|
+Описание информационной системы;
|
|
|
+Структурно-функциональные характеристики;
|
|
|
+Описание угроз безопасности;
|
|
|
+Модель нарушителя;
|
|
|
+Возможные уязвимости;
|
|
|
+Способы реализации угроз;
|
|
|
+Последствия от нарушения свойств безопасности информации.
|
|
|
+
|
|
|
+
|
|
|
+
|
alex
