Разработка моделей угроз безопасности информации
КОНСУЛЬТАЦИЯ
Разработка модели угроз является основополагающим мероприятием в рамках создания системы защиты информации, так как перечень актуальных угроз безопасности информации является одним из основных критериев при принятии решения о необходимости реализации тех или иных мер защиты информации.
Основные задачи:
Проведение детального анализа структурно-функциональных характеристик объекта защиты, выполняемых функций, уровня значимости обрабатываемой информации
Анализ возможных угроз безопасности информации, их источников, способов реализации и связанных с ними негативных последствий
Определение актуальности угроз безопасности информации для рассматриваемого объекта защиты
Согласование модели угроз с уполномоченными органами исполнительной власти (в случаях, установленных законом)
П. 14.3 Приказа ФСТЭК России от 11.02.2013 г. N 17 «Об утверждении Требований о защите информации…»
14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 53, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211) (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

Подробнее
П. 11.1 Приказа ФСТЭК России от 25.12.2017 г. N 239 «Об утверждении Требований по обеспечению безопасности…»
11.1. Целью анализа угроз безопасности информации является определение возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов значимого объекта, взаимодействия с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее – архитектура значимого объекта), а также особенностей функционирования значимого объекта.
Анализ угроз безопасности информации должен включать:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

Подробнее
Ст.19 Федерального закона от 27.07.2006 г. N 152-ФЗ «О персональных данных»
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

Подробнее
Кому нужна данная услуга?
Владельцы защищенных информационных систем
Субъекты критической информационной инфраструктуры
Крупные и средние коммерческие организации
Подробная информация о функциональности решения, особенностях внедрения и использования
Подробная информация о функциональности решения, особенностях внедрения и использования
В общем случае, порядок оказываемых услуг следующий:
1
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
2
Проведение аудита в отношении объекта защиты
3
Разработка модели угроз безопасности информации
4
Согласование с уполномоченными органами исполнительной власти
при необходимости