Модель угроз (Тула)
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге
Компания «Интелком» оказывает услуги подготовки документа «Модель угроз безопасности персональных данных».
Данный документ аттестующие и проверяющие органы запрашивают при оценке информационной безопасности у госорганов, провайдеров, банков, медицинских, образовательных учреждений и других организаций, обрабатывающих персональные данные.
В частности, документ «Модель угроз безопасности персональных данных» необходим для успешного прохождения проверки государственных информационных систем, медицинских информационных систем, банковских систем.
Определение «Модели угроз»
Модель угроз информационной безопасности как услуга представляет собой исследование объекта защиты и составление документа, в котором отражаются:
- Описание информационной системы (ИС), её структуры, функций и характеристик
- Описание потенциальных неправомерных и деструктивных действий со стороны внешних и внутренних нарушителей (Модель нарушителя)
- Описание возможных способов реализации угроз информационной безопасности
- Описание последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности)
Как правило, подготовка «Модель угроз безопасности персональных данных» является следующим после ИБ-аудита пунктом реализации проектов обеспечения информационной безопасности.
Назначение услуги
Моделирование угроз безопасности информации выполняется с целью анализа текущей защищённости ИС и определения требований к системе защиты. Документ «Модель угроз безопасности персональных данных» может использоваться для решения следующих задач:
- Оценка защищённости ИС при проведении работ по обеспечению безопасности персональных данных
- Проектирование и построение адекватной системы защиты информации, обеспечивающей безопасность персональных и других конфиденциальных данных
- Проведение организационных и технических мероприятий, призванных предотвратить несанкционированный доступ к данным и их незаконную передачу сторонним лицам
- Предотвращение деструктивного воздействия на технические средства информационных систем
- Контроль обеспечения должного уровня защищённости персональных данных и прочей конфиденциальной информации
Разработка модели угроз
При разработке документа «Модель угроз безопасности персональных данных» специалисты компании «Интелком» опираются на нормативно-правовую базу в области защиты информации (в том числе, методологию ФСБ России и ФСТЭК России). В частности, мы руководствуемся содержанием следующих документов:
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г.
- № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее Требования);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.);
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.);
- Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (Утверждены руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015)).
При разработке документа «Модель угроз безопасности персональных данных» для каждой конкретной информационной системы специалисты «Интелком» учитывают её функциональное назначение и условия эксплуатации.
В процессе реализации проекта мы:
- Обследуем весь перечень программных и технических средств, задействованных в обработке персональных данных.
- Проверяем все возможные сценарии эксплуатации уязвимостей информационной системы персональных данных (ИСПДн): перехват данных, несанкционированный доступ, уничтожение / блокировка информации с помощью программных и программно-аппаратных средств.
- Выявляем все возможные последствия: разглашение конфиденциальной информации, несанкционированное изменение данных, причинение материального ущерба компании, вред репутации.
- Оцениваем вероятность реализации угроз безопасности различного характера: утечка информации по техническим каналам, несанкционированный доступ, чрезвычайные ситуации (отключение электроэнергии, пожар, потом и т. п.).
На завершающем этапе подготовки документа «Модель угроз безопасности персональных данных» специалисты «Интелком» составляют перечень рекомендаций по корректировке системы.
Специалисты «Интелком» имеют все необходимые знания, компетенции и опыт для качественного проведения аудита и подготовки частной модели угроз. Как и на все работы, на данную услугу мы предоставляем гарантии. Уточнить цену документа «Модель угроз безопасности персональных данных» и обсудить условия сотрудничества можно по телефону, указанному вверху страницы.
Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.
Источник: https://www.rosintelcom.ru/services/informatsionnyy-audit-organizatsiy/model-ugroz/
Модель угроз информационной безопасности информационной системы (частная модель) – образец и описание
| (Полное наименование оператора) |
| “УТВЕРЖДЕНО” | ||
| (должность) | (личная подпись) | (расшифровка подписи) |
| № |
при их обработке в ИСПДн АСУ
Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и должна опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.
Результаты моделирования предназначены для выбора адекватных оптимальных методов парирования угроз.
На стадии моделирования проведено изучение и анализ существующей обстановки и выявлены актуальные угрозы безопасности ПДн в составе ИСПДн.
А также методическими документами ФСТЭК России:
– «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»
– «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»
Исходными данными для проведения оценки и анализа служат:
– материалы «Акта проверки»;
– результаты анкетирования сотрудников различных подразделений и служб;
– методические документы ФСТЭК;
– требования постановления правительства;
2.
Описание подхода к моделированию угроз безопасности ПДн
2.1.
Модель угроз безопасности разработана на основе методических документов ФСТЭК:
На основе «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн» проведена классификация угроз безопасности и составлен перечень угроз безопасности.
На основе составленного перечня угроз безопасности ПДн в составе ИСПДн с помощью «Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» построена модель угроз безопасности ПДн в составе ИСПДн АСУ и выявлены актуальные угрозы.
2.2.
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
2.3.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
2.4.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
2.5.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
3.1.
Классификация угроз безопасности персональных данных
При обработке персональных данных в ИСПДн можно выделить следующие угрозы:
| № | Наименование угрозы | Описание угрозы | Вероятность наступления | Возможность реализации угрозы |
3.2.
Источники угроз к ИСПДн
Источниками угроз в ИСПДн могут быть:
| № | Наименование источника угроз | Общая характеристика источника угроз |
3.3.
Общая характеристика уязвимостей ИСПДн
Уязвимость ИСПДн – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которое может быть использовано для реализации угрозы безопасности персональных данных.
Причины возникновения уязвимостей:
К основным группам уязвимостей ИСПДн, относятся:
| Группа уязвимости ИСПДн | Характеристика уязвимостей |
4.
Используемые средства защиты информации
Для обеспечения защиты информации используются следующие средства: .
Источник: https://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/other/model_ugroz_bezopasnosti_ispdn/
