met_doc_(модель угроз) 2021.02.05. Федеральная служба по техническому и экспортному контролю

33
Приложение 1 к Методике оценки угроз безопасности информации
Термины и определения,
применяемые для целей настоящего методического документа
Архитектура систем и сетей: совокупность основных структурно- функциональных характеристик, свойств, компонентов систем и сетей, воплощенных в информационных ресурсах и компонентах, правилах их взаимодействия, режимах обработки информации.
Взаимодействующая (смежная) система: система или сеть, которая в рамках установленных функций имеет взаимодействие посредством сетевых интерфейсов с системой и сетью оператора и не включена им в границу процесса оценки угроз безопасности информации.
Возможности нарушителя: мера усилий нарушителя для реализации угрозы безопасности информации, выраженная в показателях компетентности, оснащенности ресурсами и мотивации нарушителя.
Граница оценки угроз безопасности информации: совокупность информационных ресурсов и компонентов систем и сетей, в пределах которой обеспечивается защита информации (безопасность) в соответствии с едиными правилами и процедурами, а также контроль за реализованными мерами защиты информации (обеспечения безопасности).
Информационные ресурсы: информация, данные, представленные в форме, предназначенной для хранения и обработки в системах и сетях.
Компонент (системы, сети): программное, программно-аппаратное или техническое средство, входящее в состав систем и сетей.
Обеспечивающие системы: инженерные системы, включающие системы электроснабжения, вентиляции, охлаждения, кондиционирования, охраны и другие инженерные системы, а также средства, каналы и системы, предназначенные для оказания услуг связи, других услуг и сервисов, предоставляемых сторонними организациями, от которых зависит функционирование систем и сетей.
Обладатель информации: лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Оператор: лицо, осуществляющее деятельность по эксплуатации систем и сетей, в том числе по обработке содержащейся в них информации.
Основные (критические) процессы (бизнес-процессы): управленческие, организационные, технологические, производственные, финансово- экономические и иные основные процессы (бизнес-процессы), выполняемые обладателем информации, оператором в рамках реализации функций
(полномочий) или осуществления основных видов деятельности, нарушение и
(или) прекращение которых может привести к возникновению рисков (ущербу).

34
Пользователь: лицо, которому разрешено выполнять некоторые действия
(операции) по обработке информации в системе или сети и использующее результаты ее функционирования.
Поставщик услуг: лицо, предоставляющее оператору и (или) обладателю на основании договора или ином законном основании услуги по использованию своих вычислительных ресурсов, программного обеспечения, средств хранения или передачи информации.
Программно-аппаратное
средство: устройство, состоящее из аппаратного обеспечения и функционирующего на нем программного обеспечения, участвующее в формировании, обработке, передаче или приеме информации.
Угроза безопасности информации: совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Уязвимость: недостаток
(слабость) программного
(программно- технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.

35
Приложение 2 к Методике оценки угроз безопасности информации
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при
оценке угроз безопасности информации
Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение
(ослабление) экспертами прогнозов и предположений при оценке угроз может повлечь наступление непрогнозируемого
(неожиданного) ущерба в результате их реализации. Завышение экспертами прогнозов и предположений при моделировании угроз безопасности информации может повлечь за собой неоправданные расходы на нейтрализацию (блокирование) угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при оценке угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при оценке угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для оценки угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций) от: подразделения по защите информации (обеспечения информационной безопасности); подразделения, ответственного за цифровую трансформацию
(ИТ-специалистов); подразделения, ответственного за эксплуатацию сетей связи; подразделения, ответственного за эксплуатацию автоматизированных систем управления; подразделений обладателя информации или оператора, ответственного за выполнение основных (критических) процессов (бизнес-процессов).

36
Состав экспертов по решению обладателя информации или оператора может быть дополнен или уточнен с учетом особенностей области деятельности, в которой функционируют системы и сети. В частности, для оценки угроз безопасности информации, реализация которых может привести к финансовым рискам, рекомендуется привлекать дополнительно специалистов экономических
(финансовых) подразделений обладателя информации или оператора.
Для организации работы экспертной группы рекомендуется определять специалиста по защите информации (обеспечению информационной безопасности), имеющего стаж работ не менее трех лет и практический опыт оценки информационных рисков. В экспертную группу для оценки угроз безопасности информации рекомендуется включать специалистов, имеющих опыт работы не менее одного года по соответствующему направлению деятельности, в котором проводится оценка угроз безопасности информации.
Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации.
В состав экспертной группы должны входить не менее трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении следующих параметров: а) негативного последствия от реализации угроз безопасности информации; б) целей нарушителей по реализации угроз безопасности информации; в) сценария действий нарушителей при реализации угроз безопасности информации.
Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы: каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу; после оценки каждым из экспертов отбрасываются минимальные и максимальные значения; определяется среднее значение оцениваемого параметра в каждом раунде;

37 определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Эксперты
Значение оцениваемого параметра (раунд 1)
Значение оцениваемого параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение

38
Приложение 3 к Методике оценки угроз безопасности информации
Рекомендуемая структура модели угроз
безопасности информации
УТВЕРЖДАЮ
Руководитель органа государственной власти
(организации) или иное уполномоченное лицо
________________________
«___» ______________20__г.
Модель угроз безопасности информации
«_________________________________________________» наименование системы и (или) сети

39
1. Общие положения
Раздел «Общие положения» содержит: назначение и область действия документа; нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз; наименование обладателя информации, заказчика, оператора систем и сетей; подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей; наименование организации, привлекаемой для разработки модели угроз безопасности информации (при наличии).
2. Описание систем и сетей и их характеристика как объектов защиты
Раздел «Описание систем и сетей и их характеристика как объектов защиты» содержит: наименование систем и сетей, для которых разработана модель угроз безопасности информации; класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных; нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и (или) функционируют системы и сети; назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим; основные процессы
(бизнес-процессы) обладателя информации, оператора, для обеспечения которых создаются (функционируют) системы и сети; состав и архитектуру систем и сетей, в том числе интерфейсы и взаимосвязи компонентов систем и сетей; описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа (в состав групп пользователей включаются все пользователи, для которых требуется авторизация при доступе к информационным ресурсам, и пользователи, для которых не требуется авторизация (например, предоставлен доступ к сайту без прохождения авторизации); описание внешних интерфейсов и взаимодействий систем и сетей с пользователями (в том числе посредством машинных носителей информации, средств ввода-вывода, веб-приложений), иными системами и сетями, обеспечивающими системами, в том числе с сетью «Интернет»; информацию о функционировании систем и сетей на базе информационно- телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, о модели предоставления вычислительных услуг, о распределении ответственности за защиту информации между обладателем

40 информации, оператором и поставщиком вычислительных услуг, об условиях использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (при наличии).
К модели угроз безопасности информации могут прилагаться схемы и рисунки, иллюстрирующие состав и архитектуру систем и сетей, интерфейсы взаимодействия компонентов системы и сети, группы пользователей, а также другие поясняющие материалы.
3. Возможные
негативные
последствия
от
реализации
(возникновения) угроз безопасности информации
Раздел
«Возможные негативные последствия от реализации
(возникновения) угроз безопасности информации» содержит: описание видов рисков (ущербов), актуальных для обладателя информации, оператора, которые могут наступить от нарушения или прекращения основных процессов; описание негативных последствий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба).
4. Возможные объекты воздействия угроз безопасности информации
Раздел
«Возможные объекты воздействия угроз безопасности информации» содержит: наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов обладателя информации, оператора; описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям.
К модели угроз безопасности информации может прилагаться схема с отображением объектов воздействия и их назначения в составе архитектуры систем и сетей.
5. Источники угроз безопасности информации
Раздел «Источники угроз безопасности информации» содержит: характеристику нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз безопасности информации; категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации; описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей.

41
К модели угроз безопасности информации могут прилагаться рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы.
6. Способы
реализации
(возникновения)
угроз
безопасности
информации
Раздел «Способы реализации (возникновения) угроз безопасности информации» включает: описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий; описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением типов логических, физических интерфейсов объектов воздействия, в том числе требующих физического доступа к ним, а также соответствующие им способы реализации угроз безопасности информации.
7. Актуальные угрозы безопасности информации
Раздел «Актуальные угрозы безопасности информации» включает: перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей; описание возможных сценариев реализации угроз безопасности информации; выводы об актуальности угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.

42
Приложение 4 к Методике оценки угроз безопасности информации
Виды рисков (ущерба) и типовые негативные последствия от
реализации угроз безопасности информации
Таблица 4.1
№
Виды
риска (ущерба)
Возможные типовые негативные
последствия
У1
Ущерб физическому лицу
Угроза жизни или здоровью.
Унижение достоинства личности.
Нарушение свободы, личной неприкосновенности.
Нарушение неприкосновенности частной жизни.
Нарушение личной, семейной тайны, утрата чести и доброго имени.
Нарушение тайны переписки, телефонных переговоров, иных сообщений.
Нарушение иных прав и свобод гражданина, закрепленных в
Конституции
Российской
Федерации и федеральных законах.
Финансовый, иной материальный ущерб физическому лицу.
Нарушение конфиденциальности
(утечка) персональных данных.
«Травля» гражданина в сети «Интернет».
Разглашение персональных данных граждан
У2
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью
Нарушение законодательства
Российской
Федерации.
Потеря (хищение) денежных средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных
(незапланированных) затрат на выплаты штрафов
(неустоек) или компенсаций.
Необходимость дополнительных
(незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса.
Срыв запланированной сделки с партнером.
Необходимость дополнительных
(незапланированных) затрат на восстановление деятельности.

43

44
Продолжение таблицы 4.1