Главная страница
Навигация по странице:

  • Общие положения

  • Назначение и область действия документа

  • Нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз

  • Наименование обладателя информации, заказчика, оператора систем и сетей

  • Подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей

  • Описание систем и сетей и их характеристика как объектов защиты Описание системы «НАИМЕНОВАНИЕ ОКИИ»

    		•

    Исходник_модель_пример. Генеральный директор ао Наименование


    Скачать 91.13 Kb.
    НазваниеГенеральный директор ао Наименование
    Дата07.08.2022
    Размер91.13 Kb.
    Формат файлаdocx
    Имя файлаИсходник_модель_пример.docx
    ТипДокументы
    #641877
    страница1 из 7
      1   2   3   4   5   6   7


    УТВЕРЖДАЮ
    Генеральный директор

    АО «Наименование»
    ФИО
    «___» ______________2021г.

    Модель угроз и нарушителя

    безопасности информации объекта КИИ

    «наименование ОКИИ»

    АО «Наименование»
    (ПРОЕКТ)

    2021



    1. Общие положения

    Настоящий документ содержит актуальные угрозы безопасности информации «наименование ОКИИ» АО «Наименование» (далее – «НАИМЕНОВАНИЕ ОКИИ») значимого объекта критической информационной инфраструктуры _ категории (далее – ЗОКИИ), которые должны быть заблокированы (нейтрализованы) путем принятия организационно-технических и режимных мер по защите информации. Настоящий документ разработан с учётом положений модели угроз н нарушителя безопасности информации АО «Наименование».

    В настоящем документе приведены оценка возможностей (потенциала) нарушителей безопасности информации, анализ возможных уязвимостей и способов реализации угроз безопасности информации, и последствий от нарушения свойств безопасности информации, обрабатываемой в ЗОКИИ.

    В документе учтены результаты проведённого обследования ЗОКИИ, а также особенности структурно-функциональных характеристик ЗОКИИ АО «Наименование».


      1. Назначение и область действия документа

    Настоящий документ предназначен для определения и оценки угроз безопасности информации ЗОКИИ. а также разработки организационно- технических и режимных мер по защите информации, обеспечивающих нейтрализацию предполагаемых угроз.

    В разделе 1 «Общие положения» приведены:

    • назначение и область действия документа;

    • нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз;

    • наименование обладателя информации, заказчика, оператора систем и сетей;

    • подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей;

    • наименование организации, привлекаемой для разработки модели угроз безопасности информации.

    В разделе 2 «Описание систем и сетей и их характеристика как объектов защиты» приведены:

    • наименование систем и сетей, для которых разработана модель угроз безопасности информации;

    • класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных;

    • нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и (или) функционируют системы и сети;

    • назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим;

    • основные процессы (бизнес-процессы) обладателя информации, оператора, для обеспечения которых создаются (функционируют) системы и сети;

    • состав и архитектуру систем и сетей, в том числе интерфейсы и взаимосвязи компонентов систем и сетей;

    • описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа (в состав групп пользователей включаются все пользователи, для которых требуется авторизация при доступе к информационным ресурсам, и пользователи, для которых не требуется;

    • описание внешних интерфейсов и взаимодействий систем и сетей с пользователями (в том числе посредством машинных носителей информации, средств ввода-вывода, веб-приложений), иными системами и сетями, обеспечивающими системами, в том числе с сетью «Интернет»;

    • информацию о функционировании систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, о модели предоставления вычислительных услуг, о распределении ответственности за защиту информации между обладателем информации, оператором и поставщиком вычислительных услуг, об условиях использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг.

    В разделе 3 «Возможные негативные последствия от реализации (возникновения) угроз безопасности информации» приведены:

    • описание видов рисков (ущербов), актуальных для обладателя информации, оператора, которые могут наступить от нарушения или прекращения основных процессов;

    • описание негативных последствий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба).

    В разделе 4 «Возможные объекты воздействия угроз безопасности информации» приведены:

    • наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов обладателя информации, оператора;

    • описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям.

    В разделе 5 «Источники угроз безопасности информации» приведены:

    • характеристика нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз безопасности информации;

    • категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации;

    • описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей.

    В разделе 6 «Способы реализации (возникновения) угроз безопасности информации» приведены:

    • описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий;

    • описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации.

    В разделе 7 «Актуальные угрозы безопасности информации» приведены:

    • перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;

    • описание возможных сценариев реализации угроз безопасности информации;

    • выводы об актуальности угроз безопасности информации.

    В «Приложении А» приводятся схемы и рисунки, иллюстрирующие состав, архитектура систем и сетей, интерфейсы взаимодействия компонентов системы и сети, группы пользователей, а также другие поясняющие материалы.

    В «Приложении Б» приводятся схемы с отображением объектов воздействия и их назначения в составе архитектуры систем и сетей.

    В «Приложении В» приводятся рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы.

    В «Приложении Г» приводятся схемы с отображением типов логических, физических интерфейсов объектов воздействия, в том числе требующих физического доступа к ним, а также соответствующие им способы реализации угроз безопасности информации.

    В «Приложении Д» приводятся схемы с отображением сценариев реализации угроз безопасности информации.

      1. Нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз

    При разработке настоящего документа учитывались действующее законодательство, нормативные правовые акты н методические документы уполномоченных федеральных органов исполнительной власти, в которых регламентируются вопросы разработки моделей угроз безопасности информации, применимые положения национальных стандартов и иных документов (источников), в том числе:

    • Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    • Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

    • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

    • Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

    • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

    • нормативный правовой акт ФСТЭК России «Требования о защите информации, не составляющей государственной тайны, содержащейся в государственных информационных системах», утвержден приказом ФСТЭК России от 11.02.2013 № 17;

    • нормативный правовой акт ФСТЭК России «Состав и содержание организационных н технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержден приказом ФСТЭК России от 18.02.2013 № 21;

    • нормативный правовой акт ФСТЭК России «Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционированиям, утвержденный приказом ФСГЭК России от 21.12.2017 № 235;

    • нормативный правовой акт ФСТЭК России «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утвержденный приказом ФСТЭК России от 25.12.2017 № 239;

    • методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах», утвержден ФСТЭК России 11.02.2014;

    • «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по канатам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утверждена приказом ФАПСИ от 13.06.2001 № 152;

    • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утверждены приказом ФСБ России от 10.07.2014 № 378;

    • «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утверждены руководством 8 Центра ФСБ России 31.03.2015 № 149/7/2/6-432;

    • «Методика оценки угроз безопасности информации», утверждена ФСТЭК России 05.02.2021;

    • банк данных угроз безопасности информации ФСТЭК России.

    А также локальные нормативные акты АО «Наименование»:

    • Политика информационной безопасности АО «Наименование», утвержденная приказом от 28.10.2013;

    • Политика АО «Наименование» в области обработки и обеспечения безопасности персональных данных, утверждена приказом № 2020Д от 20.03.2019

    • Концепция построения системы информационной безопасности, утвержденная приказом от 29.11.2013;

    • А.01.00.2019, утверждено приказом № 582ОД(а) от 26.07.2019

    • 10.01- 90-2014 Положение об информационно-новостных ресурсах АО «Наименование», утверждено приказом № __ от 06.11.2014

    • 10.01-2018 Положение о порядке организации совещаний в АО «Наименование», утверждено приказом № __ от 26.06.2018

    • 11-015 Положение о порядке проведения переговоров с потенциальными заказчиками, утверждено приказом № __ от 10.06.2015

    • 20- 2014 Положение о порядке применения паролей доступа для обеспечения информационной безопасности АО «Наименование», утверждено приказом № _ от 21.04.2014

    • 0- -2014 Положение о прядке безопасности использования внешней электронной почты в АО «Наименование», утверждено приказом № __ от 21.04.2014

    • 0- 2014 «Положение о порядке безопасносго использования ресурсов сети Интернет в АО «Наименование», утверждено приказом № ___ от 21.04.2014

    • 0- -2014 «Положение о порядке антивирусной защиты в АО «Наименование», утверждено приказом № _ от 01.11.2013

    • 14 Положение «Порядок обеспечения эксплуатации и обслуживания средств вычислительной техники и программного обеспечения», утверждено приказом № _ от 15.10.2014

    • .1144-2016 Положение процедура управления информационными активами в АО «Наименование», утверждено приказом № __ от 06.06.2016

    • .1145-2016 Внедрение и эксплуатация информационных систем в АО «Наименование», утверждено приказом № __ от 06.06.2016

    • 27.1014-2016 «Положение о коммерческой тайне АО «Наименование», утверждено приказом № __ от 29.06.2016

    • -2014 Положение об управлении доступом к ресурсам корпоративной сети АО «Наименование», утверждено приказом № _ от 27.08.2014

    • -2015 Положение об аудите информационной безопасности, утверждено приказом № __ от 25.03.2015

    • 2015 Положение о безопасном использовании съемных носителей информации в АО «Наименование», утверждено приказом № __ от 26.06.2015

    • 1143-2016 Положение. Безопасное использование мобильных средств вычислительной техники, утверждено приказом № __ от 16.06.2016

    • -2017 Безопасность сетевой инфраструктуры в АО «Наименование», утверждено приказом № __ от 15.02.2017

    • 1194-2017 Управление рисками информационной безопасности АО «Наименование», утверждено приказом № __ от 24.11.2017

    • .1238-2018 Положение. Административно – управленческие вопросы, система управления. Обучение работников в целях повышения осведомленности в области информационной безопасности в АО «Наименование», утверждено приказом № __ от 03.07.2018

    • .00.1239 Положение. Административно – управленческие вопросы, система управления. Управление инцидентами информационной безопасности. Порядок реагирования и устранения, утверждено приказом № 669 от 09.07.2018

    • .3084 Административно – управленческие вопросы. Правила, особенности и порядок работы с конфиденциальной информацией, утверждены приказом № 669 от 09.07.2018

    • .3274-2019 Положение. Информационные технологии. Управление изменениями информационных систем

    • Положение о порядке работы с соглашениями о конфиденциальности, утверждено приказом № __ ОД от 05.06.2019

    • -2016 Регламент «Порядок установки обновлений СУБД и ППО в АО «Наименование», утвержден приказом № __ от 30.03.2016

    • -2016 Регламент «Процедура управления изменениями в сетевой инфраструктуре», утвержден приказом № __ от 11.04.2016

    • Регламент управления уязвимостями информационных систем в АО «Наименование», утвержден приказом № ___ от 18.12.2015

    • Регламент резервного копирования, утвержден приказом № __ от 27.11.2013

    • .4048-2018 Инструкция работника по правилам безопасного хранения электронных документов в АО «Наименование», утверждена приказом № ___ от 24.12.2018

    • Инструкция по обеспечению безопасности эксплуатации СКЗИ, утверждена приказом № __ от 16.01.2018

    • Инструкция о пропускном и внутриобъектовом режимах в АО «Наименование», утверждена приказом № __ от 28.04.2015

    • Перечень сведений конфиденциального характера АО «Наименование», утвержден приказом № __ ОД от 03.04.2019

    • Цели в области информационной безопасности АО «Наименование», утверждены приказом № __ ОД от 04.04.2019

    • Приказ № __ от 22.04.2014 «О хранении электронных и производственных данных»;

    • Приказ № __ от 10.04.2015 «Об организации обмена конфиденциальной документации с филиалами»;

    • Приказ № ___ от 07.09.2016 «О передаче служебной информации по открытым каналам связи»

    • Приказ № ___ от 25.06.2014 «Об использовании электронной почты, сети интернет и электронных носителей»

    • Приказ № ___ от 28.12.2018 «О пересылке конфиденциальной информации»

    • Приказ № __ от 13.12.2018 «О внедрении стандарта по обеспечению информационной безопасности»

    • Приказ № __ от 12.12.2019 «О защите информации»

      1. Наименование обладателя информации, заказчика, оператора систем и сетей

    Заказчиком и обладателем информации является АО «Наименование».

      1. Подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей




      1. Наименование организации, привлекаемой для разработки модели угроз безопасности информации

    Модель угроз безопасности информации АО «Наименование» разработана с привлечением АО «11111», имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциально информации (рег. № ___ от ____).

    1. Описание систем и сетей и их характеристика как объектов защиты

      1. Описание системы «НАИМЕНОВАНИЕ ОКИИ»

    «НАИМЕНОВАНИЕ ОКИИ» создана и функционирует в соответствие с приказом № __ от __.__.__ «О вводе в эксплуатацию», утвержденного генеральным директором АО «Наименование».

    «НАИМЕНОВАНИЕ ОКИИ» размещается в пределах контролируемой зоны АО «Наименование» по адресу ______ и предназначена для____/решает задачи (функции)___. В ней обрабатывается общедоступная информация и информация конфиденциального характера, в соответствие с Перечнем сведений конфиденциального характера АО «Наименование», утвержден приказом № ___ от 03.04.2019, информация, циркулирующая в «НАИМЕНОВАНИЕ ОКИИ», отнесена к общедоступной, технологической информации, коммерческой тайне, служебной информации, информации с пометкой «Для служебного пользования».

    «НАИМЕНОВАНИЕ ОКИИ» создается/функционирует для обеспечения следующих основных процессов (бизнес-процессов) АО «Наименование»:

    • …;


    В соответствие с:

    Актом классификации № __ от __.__.__«НАИМЕНОВАНИЕ ОКИИ» присвоен класс защищенности __;

    Актом категорирования объектов критической информационной инфраструктуры № __ от __.__.__ «НАИМЕНОВАНИЕ ОКИИ» отнесена к __ категории ЗОКИИ.

    Актом определения уровня защищенности ПДн № __ от __.__.__ «НАИМЕНОВАНИЕ ОКИИ» присвоен уровень защищенности __.
      1.   1   2   3   4   5   6   7

    написать администратору сайта