Разработка и согласование моделей угроз и нарушителя

Разработка модели угроз и модели нарушителя является необходимым этапом при построении эффективной системы защиты конфиденциальной информации и логично продолжает этап аудита информационной безопасности организации. Модель угроз безопасности информации разрабатывается в соответствии с Методикой оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 года и включает описание возможностей нарушителей (Модель нарушителя).

Моделирование угроз и нарушителя производится:

• для объективного понимания тех угроз и нарушителей, которые актуальны для информационных систем конкретной организации, чтобы впоследствии грамотно спроектировать систему их предупреждения и нейтрализации;
• для выполнения требований регуляторов в области защиты информации и при подготовке к проверкам и аттестации информационных систем.

Модель угроз и нарушителя разрабатывается на основании требований действующего законодательства:

• Постановление Правительства РФ от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 №21 (ред. от 23.03.2017) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) от 11.02.2013 №17 (ред. от 15.02.2017) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Зачем обращаться к специалистам для разработки моделей угроз и нарушителя, если с сети интернет можно найти много шаблонов частных моделей угроз? Тут важно понимать, что нужно руководству организации – иметь «отписку» или реальный, полноценный организационно-распорядительный документ. Шаблон из интернета не гарантирует ни объективного понимания существующих угроз для имеющихся в организации информационных систем, ни успешного согласования моделей с регулятором. Обращаясь к специалистам по информационной безопасности, руководство организации сэкономит время и средства на разработку отвечающей требованиям регуляторов модели угроз и нарушителей, обезопасит себя от санкций регуляторов и в дальнейшем сможет оптимизировать затраты на построение системы защиты информации, отвечающей реальной модели угроз.

Модель угроз безопасности информации и техническое задание на систему защиту информации входят в число исходных данных, необходимых для аттестации информационных систем по требованиям безопасности информации. В ходе подготовки к проведению работ по аттестации региональных и федеральных государственных информационных систем в исполнительных органах государственной власти наша компания в целях  исполнения Постановления Правительства Российской Федерации от 06.07.2015 № 676 “О требованиях к порядку создания, развития, ввода в эксплуатацию и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации” осуществляет разработку проектов моделей угроз безопасности информации и технических задания на систему защиты информации, а также осуществляет экспертную поддержку процесса согласования данных проектов во ФСТЭК России и ФСБ России.