# Методы оценки опасности угроз
## Что определяет методика оценки угроз безопасности информации?

Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах , а также по разработке моделей угроз безопасности информации систем и сетей.

## Когда применяется методика?

Методика применяется для определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объекта, объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среде.
В иных случаях решение о применении методики принимается обладателями  или операторами систем и сетей.
**По сути, данная методика необходима для большинства информационных систем и сетей.
**

## Основные задачи оценки угроз безопасности информации:

• определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
• инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;
• определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;
• оценка способов реализации (возникновения) угроз безопасности информации;
• оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
• оценка сценариев реализации угроз безопасности информации в системах и сетях.

## Общая схема проведения моделирования угроз:

### Этап 1. Определение негативных последствий от угроз безопасности информации
- Анализ документации систем и сетей, и иных исходных данных;
- Определение негативных последствий от реализации угроз.
### Этап 2. Определение объектов воздействия угроз безопасности информации.
- Анализ документации систем и сетей, и иных исходных данных;
- Инвентаризация систем и сетей;
- Определение групп информационных ресурсов и компонентов систем и сетей.
### Этап 3. Оценка возможности реализации угроз и их актуальности. 
- Определение источников угроз;
- Оценка способов реализации угроз;
- Оценка актуальности угроз.

## Определение возможных объектов воздействия угроз безопасности информации

 В ходе оценки угроз безопасности информации должны быть определены информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям - объекты воздействия.

Совокупность объектов воздействия и их интерфейсов определяет границы процесса оценки угроз безопасности информации и разработки модели угроз безопасности информации

**Исходными данными для определения возможных объектов воздействия являются:**

а) общий перечень угроз безопасности информации, содержащейся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;

б) описания векторов компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети "Интернет" (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);

в) документация на сети и системы (в части сведений о составе и архитектуре, о группах пользователей и уровне их полномочий и типах доступа, внешних и внутренних интерфейсах);

г) договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);

д) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой.

Указанные исходные данные могут быть дополнены иными документами и сведениями с учетом особенностей области деятельности, в которой функционируют системы и сети.

**На основе анализа исходных данных и результатов инвентаризации систем и сетей определяются следующие группы информационных ресурсов и компонентов систем и сетей, которые могут являться объектами воздействия:**

а) информация (данные), содержащаяся в системах и сетях (в том числе защищаемая информация, персональные данные, информация о конфигурации систем и сетей, данные телеметрии, сведения о событиях безопасности и др.);

б) программно-аппаратные средства обработки и хранения информации (в том числе автоматизированные рабочие места, серверы, включая промышленные, средства отображения информации, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства));

в) программные средства (в том числе системное и прикладное программное обеспечение, включая серверы приложений, веб-приложений, системы управления базами данных, системы виртуализации);

г) машинные носители информации, содержащие как защищаемую информацию, так и аутентификационную информацию;

д) телекоммуникационное оборудование (в том числе программное обеспечение для управления телекоммуникационным оборудованием);

е) средства защиты информации (в том числе программное обеспечение для централизованного администрирования средств защиты информации);

ж) привилегированные и непривилегированные пользователи систем и сетей, а также интерфейсы взаимодействия с ними;

з) обеспечивающие системы.

**На этапе создания систем и сетей объекты воздействия определяются на основе предполагаемых архитектуры и условий функционирования систем и сетей, определенных на основе изучения и анализа исходных данных. В ходе эксплуатации систем и сетей, в том числе при развитии (модернизации) систем и сетей, объекты воздействия определяются для реальных архитектуры и условий функционирования систем и сетей, полученных по результатам анализа исходных данных и инвентаризации систем и сетей.**

Инвентаризация систем и сетей проводится с использованием автоматизированных средств, которые позволяют определить компоненты систем и сетей, а также внешние и внутренние интерфейсы.

## Актуальные угрозы безопасности информации
Раздел "Актуальные угрозы безопасности информации" включает:

перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;

описание возможных сценариев реализации угроз безопасности информации;

выводы об актуальности угроз безопасности информации.

К модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.

### Cписок используемой литературы
["Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021)
](https://www.consultant.ru/document/cons_doc_LAW_378330/)
[МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
](https://www.evraas.ru/resources/metodika-otsenki-ugroz-bezopasnosti-informatsii/)