Разработка модели угроз информационной безопасности
Необходимость разработки моделей угроз согласована рядом таких нормативных документов, как «Закон о персональных данных», требования о защите информации и объектов на территории Российской федерации и др.
Контроль за осуществлением безопасности персональных данных осуществляют законы, принятые организациями ФСТЭК и Роскомнадзор. Соответственно, необходимо учитывать согласованную ими документацию при создании модели угроз (сокр. МУ), используемой при тесте уже спроектированной системы защиты персональных данных.
· Характеристика системы угрозы
· Характеристики и структуризация модели
· Описание МУ
· Способ исполнения угрозы
· Последствия от использования модели
· Уровень исходной защищенности. Этот параметр не меняется никаким образом и, соответственно, определяется всего один раз. Разделяется на три уровня: высокий, средний и низкий уровни. Чаще всего, «высокий» уровень защищенности достигнуть практически невозможно.
· Опасность. Так же, как и защищенность, делится на три категории, и зависит от количества и степени тяжести последствий, следующих после использования угрозы.
· Описание характеристик модели. Рассматриваются такие характеристики как конфиденциальность, целостность, способы реализации и др.
· Формирование списка актуальных угроз
Контроль за осуществлением безопасности персональных данных осуществляют законы, принятые организациями ФСТЭК и Роскомнадзор. Соответственно, необходимо учитывать согласованную ими документацию при создании модели угроз (сокр. МУ), используемой при тесте уже спроектированной системы защиты персональных данных.
Что должно быть в МУ?
· Характеристика системы угрозы
· Характеристики и структуризация модели
· Описание МУ
· Способ исполнения угрозы
· Последствия от использования модели
Определение списка актуальных угроз по этапам:
· Уровень исходной защищенности. Этот параметр не меняется никаким образом и, соответственно, определяется всего один раз. Разделяется на три уровня: высокий, средний и низкий уровни. Чаще всего, «высокий» уровень защищенности достигнуть практически невозможно.
· Опасность. Так же, как и защищенность, делится на три категории, и зависит от количества и степени тяжести последствий, следующих после использования угрозы.
· Описание характеристик модели. Рассматриваются такие характеристики как конфиденциальность, целостность, способы реализации и др.
· Формирование списка актуальных угроз