|
|
@@ -0,0 +1,74 @@
|
|
|
+# Критерии классификации угроз.
|
|
|
+
|
|
|
+Что такое модель угроз?
|
|
|
+Модель угроз и нарушителя – это «совокупность предположений о возможных угрозах и возможностях нарушителя, которые он
|
|
|
+может использовать для разработки и проведения атак в рамках разрабатываемой системы».
|
|
|
+Для более точного понимания обратимся к нормативной документации, а именно – методике Федеральной службы по техническому
|
|
|
+и экспортному контролю (ФСТЭК). Получим следующее определение:
|
|
|
+
|
|
|
+Данная модель содержит перечень возможных нарушителей, которые могут скомпрометировать/навязать/испортить информацию в
|
|
|
+разрабатываемой системе; список угроз в соответствии с классом вашей системы и описание некоторых последствий, которые
|
|
|
+могут появиться, если нарушитель все-таки украдет вашу информацию.
|
|
|
+
|
|
|
+Нормативно-методическая база
|
|
|
+
|
|
|
+С моей точки зрения, необходимо сделать небольшое формальное отступление и перечислить ФЗ, которые, как раз-таки,
|
|
|
+регламентируют написание данного документа:
|
|
|
+
|
|
|
+-Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
|
|
|
+(ред. от 09.03.2021);
|
|
|
+
|
|
|
+-Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»;
|
|
|
+
|
|
|
+-Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные
|
|
|
+постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119;
|
|
|
+
|
|
|
+Требования к защите автоматизированных систем управления субъектов критической информационной инфраструктуры – в
|
|
|
+соответствии с положениями Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной
|
|
|
+инфраструктуры Российской Федерации»;
|
|
|
+
|
|
|
+Вывод: если вы взялись за разработку государственной информационной системы, которая содержит коммерчески значимую
|
|
|
+информацию или персональные данные, которые, как ни крути, подлежат защите в соответствии с законодательством, от
|
|
|
+разработки модели угроз вам никуда не деться.
|
|
|
+
|
|
|
+Содержание модели угроз
|
|
|
+
|
|
|
+«Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных
|
|
|
+характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель
|
|
|
+нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и
|
|
|
+последствий от нарушения свойств безопасности информации».
|
|
|
+
|
|
|
+Давайте еще раз перечитаем и выделим основные моменты, которые должны быть:
|
|
|
+
|
|
|
+-описание информационной системы;
|
|
|
+
|
|
|
+-структурно-функциональные характеристики;
|
|
|
+
|
|
|
+-описание угроз безопасности;
|
|
|
+
|
|
|
+-модель нарушителя;
|
|
|
+
|
|
|
+-возможные уязвимости;
|
|
|
+
|
|
|
+-способы реализации угроз;
|
|
|
+
|
|
|
+-последствия от нарушения свойств безопасности информации.
|
|
|
+
|
|
|
+Давайте еще раз перечитаем и выделим основные моменты, которые должны быть:
|
|
|
+
|
|
|
+-описание информационной системы;
|
|
|
+
|
|
|
+-структурно-функциональные характеристики;
|
|
|
+
|
|
|
+-описание угроз безопасности;
|
|
|
+
|
|
|
+-модель нарушителя;
|
|
|
+
|
|
|
+-возможные уязвимости;
|
|
|
+
|
|
|
+-способы реализации угроз;
|
|
|
+
|
|
|
+-последствия от нарушения свойств безопасности информации.
|
|
|
+
|
|
|
+## Список литературы:
|
|
|
+[habr.com](https://habr.com/ru/post/704904/)
|
