Методический документ методика оценки угроз безопасности информации

д) виды и категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы, и их возможности,
определенные в соответствии с настоящей Методикой;
е) актуальные способы реализации (возникновения) угроз безопасности информации.
5.3.3. На основе анализа исходных данных определяются возможные для систем и сетей угрозы безопасности информации, к которым относятся осуществляемые нарушителем воздействия на информационные ресурсы и компоненты систем и сетей (объекты воздействия), в результате которых возможно нарушение безопасности информации и (или) нарушение или прекращение функционирования систем и сетей.
Угроза безопасности информации возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям:
УБИ
i
= [нарушитель (источник угрозы); объекты воздействия;
способы реализации угроз; негативные последствия].
5.3.4. Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации.
Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных в соответствии с настоящей Методикой, и применительно к объектам воздействия и видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.
Перечень основных тактик (тактических задач) и соответствующих им типовых техник,
используемых для построения сценариев реализации угроз безопасности информации, приведен в
приложении 11
к настоящей Методике.
5.3.5. На этапе создания систем и сетей должен быть определен хотя бы один сценарий каждого способа реализации возможной угрозы безопасности информации. Сценарий определяется для каждого актуального нарушителя и их уровней возможностей.
При наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для системы и сети и включается в модель угроз безопасности систем и сетей для обоснования выбора организационных и технических мер по защите информации
(обеспечению безопасности), а также выбора средств защиты информации (рисунок 7).
Угроза несанкционированного доступа к базе данных,
содержащей защищаемую информацию
КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru_Страница_24_из_84Документ_предоставленКонсультантПлюс'>КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 24 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 25 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Рисунок 7. Пример сценария реализации угрозы безопасности информации
На этапе эксплуатации систем и сетей для каждой возможной угрозы безопасности информации определяется множество возможных сценариев ее реализации в интересах оценки эффективности принятых технических мер по защите информации (обеспечению безопасности),
в том числе средств защиты информации. При этом множество сценариев определяется для каждого актуального нарушителя и уровней его возможностей в соответствии с полученными результатами инвентаризации систем и сетей, анализа уязвимостей и (или) тестирования на проникновение, проведенных с использованием автоматизированных средств
(рисунок 8)
5.3.6. На этапе эксплуатации определение сценариев реализации угрозы включает:
а) анализ исходных данных на систему или сеть, предусматривающий в том числе анализ документации, модели угроз безопасности информации, применяемых средств защиты информации, и определение планируемых к применению автоматизированных средств;
б) проведение инвентаризации информационных систем и сетей и определение объектов воздействия и их интерфейсов;
в) определение внешних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации;
г) определение внутренних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации;
д) выявление уязвимостей объектов воздействия, а также компонентов систем и сетей,
имеющих внешние интерфейсы, с которыми посредством внутренних интерфейсов взаимодействуют объекты воздействия;
е) проведение тестирования на проникновение, подтверждающего возможность использования выявленных уязвимостей или выявления новых сценариев реализации угрозы безопасности информации;
ж) поиск последовательности тактик и техник, применение которых может привести к реализации угрозы безопасности информации, исходя из уровня возможностей актуальных нарушителей, а также результатов инвентаризации, анализа уязвимостей и тестирования на проникновение;
з) составление сценариев реализации угрозы безопасности информации применительно к объектам и видам воздействия, а также способам реализации угроз безопасности информации.
КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru_Страница_26_из_84Документ_предоставленКонсультантПлюс'>КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 26 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Рисунок 8. Пример сценариев реализации угроз безопасности информации
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 27 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Приложение 1
к Методике оценки угроз безопасности информации
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ,
ПРИМЕНЯЕМЫЕ ДЛЯ ЦЕЛЕЙ НАСТОЯЩЕГО МЕТОДИЧЕСКОГО ДОКУМЕНТА
Архитектура систем и сетей: совокупность основных структурно-функциональных характеристик, свойств, компонентов систем и сетей, воплощенных в информационных ресурсах и компонентах, правилах их взаимодействия, режимах обработки информации.
Взаимодействующая (смежная) система: система или сеть, которая в рамках установленных функций имеет взаимодействие посредством сетевых интерфейсов с системой и сетью оператора и не включена им в границу процесса оценки угроз безопасности информации.
Возможности нарушителя: мера усилий нарушителя для реализации угрозы безопасности информации, выраженная в показателях компетентности, оснащенности ресурсами и мотивации нарушителя.
Граница оценки угроз безопасности информации: совокупность информационных ресурсов и компонентов систем и сетей, в пределах которой обеспечивается защита информации
(безопасность) в соответствии с едиными правилами и процедурами, а также контроль за реализованными мерами защиты информации (обеспечения безопасности).
Информационные ресурсы: информация, данные, представленные в форме,
предназначенной для хранения и обработки в системах и сетях.
Компонент (системы, сети): программное, программно-аппаратное или техническое средство, входящее в состав систем и сетей.
Обеспечивающие системы: инженерные системы, включающие системы электроснабжения,
вентиляции, охлаждения, кондиционирования, охраны и другие инженерные системы, а также средства, каналы и системы, предназначенные для оказания услуг связи, других услуг и сервисов,
предоставляемых сторонними организациями, от которых зависит функционирование систем и сетей.
Обладатель информации: лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации,
определяемой по каким-либо признакам.
Оператор: лицо, осуществляющее деятельность по эксплуатации систем и сетей, в том числе по обработке содержащейся в них информации.
Основные (критические) процессы (бизнес-процессы): управленческие, организационные,
технологические, производственные, финансово-экономические и иные основные процессы
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 28 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

(бизнес-процессы), выполняемые обладателем информации, оператором в рамках реализации функций (полномочий) или осуществления основных видов деятельности, нарушение и (или)
прекращение которых может привести к возникновению рисков (ущербу).
Пользователь: лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в системе или сети и использующее результаты ее функционирования.
Поставщик услуг: лицо, предоставляющее оператору и (или) обладателю на основании договора или ином законном основании услуги по использованию своих вычислительных ресурсов, программного обеспечения, средств хранения или передачи информации.
Программно-аппаратное средство: устройство, состоящее из аппаратного обеспечения и функционирующего на нем программного обеспечения, участвующее в формировании,
обработке, передаче или приеме информации.
Угроза безопасности информации: совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.
Приложение 2
к Методике оценки угроз безопасности информации
РЕКОМЕНДАЦИИ
ПО ФОРМИРОВАНИЮ ЭКСПЕРТНОЙ ГРУППЫ И ПРОВЕДЕНИЮ
ЭКСПЕРТНОЙ ОЦЕНКИ ПРИ ОЦЕНКЕ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при оценке угроз может повлечь наступление непрогнозируемого
(неожиданного) ущерба в результате их реализации. Завышение экспертами прогнозов и предположений при моделировании угроз безопасности информации может повлечь за собой неоправданные расходы на нейтрализацию (блокирование) угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений.
Это также может приводить как к занижению (ослаблению), так и к завышению (усилению)
экспертами прогнозов и предположений при оценке угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при оценке угроз безопасности информации,
должно исходить из правил, при которых нарушитель находится в наилучших условиях для
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 29 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

реализации угрозы безопасности (принципа "гарантированности").
а) формирование экспертной группы
В состав экспертной группы для оценки угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации,
заказчика и оператора в рамках одной или нескольких организаций) от:
подразделения по защите информации (обеспечения информационной безопасности);
подразделения, ответственного за цифровую трансформацию (ИТ-специалистов);
подразделения, ответственного за эксплуатацию сетей связи;
подразделения, ответственного за эксплуатацию автоматизированных систем управления;
подразделений обладателя информации или оператора, ответственного за выполнение основных (критических) процессов (бизнес-процессов).
Состав экспертов по решению обладателя информации или оператора может быть дополнен или уточнен с учетом особенностей области деятельности, в которой функционируют системы и сети. В частности, для оценки угроз безопасности информации, реализация которых может привести к финансовым рискам, рекомендуется привлекать дополнительно специалистов экономических (финансовых) подразделений обладателя информации или оператора.
Для организации работы экспертной группы рекомендуется определять специалиста по защите информации (обеспечению информационной безопасности), имеющего стаж работ не менее трех лет и практический опыт оценки информационных рисков. В экспертную группу для оценки угроз безопасности информации рекомендуется включать специалистов, имеющих опыт работы не менее одного года по соответствующему направлению деятельности, в котором проводится оценка угроз безопасности информации.
Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации.
В состав экспертной группы должны входить не менее трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении следующих параметров:
а) негативного последствия от реализации угроз безопасности информации;
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 30 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

б) целей нарушителей по реализации угроз безопасности информации;
в) сценария действий нарушителей при реализации угроз безопасности информации.
Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений ("низкий", "средний", "высокий" или "да", "нет" или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не менее двух раундов оценки), результаты которой заносятся в таблицу;
после оценки каждым из экспертов отбрасываются минимальные и максимальные значения;
определяется среднее значение оцениваемого параметра в каждом раунде;
определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Эксперты
Значение оцениваемого параметра (раунд 1)
Значение оцениваемого параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение
Приложение 3
к Методике оценки угроз безопасности информации
РЕКОМЕНДУЕМАЯ СТРУКТУРА
МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
УТВЕРЖДАЮ
Руководитель органа государственной власти
(организации) или иное
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 31 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

уполномоченное лицо
______________________
"__" _________ 20__ г.
Модель угроз безопасности информации "_______________________________________"
наименование системы и (или) сети
1. Общие положения
Раздел "Общие положения" содержит:
назначение и область действия документа;
нормативные правовые акты, методические документы, национальные стандарты,
используемые для оценки угроз безопасности информации и разработки модели угроз;
наименование обладателя информации, заказчика, оператора систем и сетей;
подразделения, должностные лица, ответственные за обеспечение защиты информации
(безопасности) систем и сетей;
наименование организации, привлекаемой для разработки модели угроз безопасности информации (при наличии).
2. Описание систем и сетей и их характеристика как объектов защиты
Раздел "Описание систем и сетей и их характеристика как объектов защиты" содержит:
наименование систем и сетей, для которых разработана модель угроз безопасности информации;
класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных;
нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и (или) функционируют системы и сети;
назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим;
основные процессы (бизнес-процессы) обладателя информации, оператора, для обеспечения которых создаются (функционируют) системы и сети;
состав и архитектуру систем и сетей, в том числе интерфейсы и взаимосвязи компонентов систем и сетей;
описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа (в состав групп пользователей включаются все пользователи, для которых требуется авторизация при доступе к информационным ресурсам, и пользователи, для