Шаблон_пример_Модель_угроз_безопасности_информации_по_ФСТЭК_+_ФС. Ооо Наименование организации

Название	Ооо Наименование организации
Дата	29.01.2023
Размер	216.5 Kb.
Формат файла
Имя файла	Шаблон_пример_Модель_угроз_безопасности_информации_по_ФСТЭК_+_ФС.docx
Тип	Документы #911458
страница	7 из 14

1 2 3 4 5 6 7 8 9 10 ... 14

Оценка угроз в соответствии с методическими документами ФСБ России
1. На основании исходных данных об объектах защиты (в соответствии с разделом 5 настоящей Модели угроз) и источниках атак (в соответствии с разделом 6.1 настоящей Модели угроз) ГИС «Наименование системы» определены обобщенные возможности источников атак (таблица 15).

Таблица 15 – Обобщенные возможности источников атак

№	Обобщенные возможности источников атак	Предположение о возможности источников атак
1.	Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны	Да
2.	Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования	Да
3.	Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования	Нет
4.	Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ)	Нет
5.	Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения)	Нет
6.	Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ)	Нет

В соответствии с нормативно-правовыми документами ФСБ России реализация угроз безопасности информации определяется возможностями источников атак.
Исходя из обобщенных возможностей источников атак определены уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы). Результаты приведены в Приложении № 8.
Используемые для защиты информации криптосредства должны обеспечить криптографическую защиту по уровню не ниже КС2.

Приложение № 1

Источники разработки модели угроз
Система должна соответствовать требованиям следующих Федеральных законов и принятых в соответствии с ними нормативно-правовых актов:

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

Методический документ «Методика оценки угроз безопасности информации», утвержденный Федеральной службы по техническому и экспортному контролю 5 февраля 2021 г.;

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 г.;
Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра Федеральной службы безопасности Российской Федерации 31 марта 2015 г. № 149/7/2/6-432;
ГОСТ 15971-90 «Системы обработки информации. Термины и определения», утвержденный постановлением Государственного комитета СССР по управлению качеством продукции и стандартам от 26 октября 1990 г. № 2698;

ГОСТ 19781-90 «Обеспечение систем обработки информации программное. Термины и определения», утвержденный постановлением Государственного комитета СССР по управлению качеством продукции и стандартам от 27 августа 1990 г. № 2467;
ГОСТ 29099-91 «Сети вычислительные локальные. Термины и определения», утвержденный постановлением Комитета стандартизации и метрологии СССР от 25 сентября 1991 г. № 1491;

ГОСТ Р 59853-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения», утвержденный приказом Росстандарта от 19 ноября 2021 г. № 1520-ст;

ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем», утвержденный приказом Росстандарта от 19 ноября 2021 г. № 1521-ст;
ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», утвержденный постановлением Государственного комитета СССР по управлению качеством продукции и стандартам от 29 декабря 1990 г. № 3469;
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», утвержденный постановлением Госстандарта России от 9 февраля 1995 г. № 49;

ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 373-ст;

ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство», утвержденный постановлением Госстандарта России от 14 июля 1998 г. № 295;

ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 374-ст;

ГОСТ Р 2.105-2019 «Единая система конструкторской документации. Общие требования к текстовым документам», утвержденный приказом Росстандарта от 29 апреля 2019 г. № 175-ст;

ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. № 457-ст;

ГОСТ Р 59795-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов», утвержденный приказом Росстандарта от 25 октября 2021 г. № 1297-ст;

Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения», утвержденный Решением председателя Гостехкомиссии России от 30 марта 1992 г.

Приложение № 2

Схема интерфейсов взаимодействия и компонентов ГИС «Наименование системы»

Схема функционирования ГИС «Наименование системы»

Приложение № 3

Соответствие возможных целей реализации угроз безопасности информации с негативными последствиями

№ п/п	Вид нарушителя	Цели реализации угроз безопасности информации	Вид риска (ущерба)
№ п/п	Вид нарушителя	Цели реализации угроз безопасности информации	Нанесение ущерба физическому лицу	Нанесение ущерба юридическому лицу, индивидуальному предпринимателю	Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
1.	Террористические, экстремистские группировки	Совершение террористических актов, угроза жизни граждан	–	НП.7; НП.9; НП.10	–
		Нанесение ущерба отдельным сферам деятельности или секторам экономики государства	–	–	–
		Дестабилизация общества	–	–	–
		Дестабилизация деятельности органов государственной власти, организаций	–	–	НП.2; НП.13
2.	Преступные группы (криминальные структуры)	Получение финансовой или иной материальной выгоды	–	–	–
2.	Преступные группы (криминальные структуры)	Желание самореализации (подтверждение статуса)	НП.1; НП.6	НП.9; НП.10; НП.12	–
3.	Отдельные физические лица (хакеры)	Получение финансовой или иной материальной выгоды	НП.6	–	–
3.	Отдельные физические лица (хакеры)	Любопытство или желание самореализации (подтверждение статуса)	НП.1; НП.6	НП.9; НП.10; НП.12	–
4.	Разработчики программных, программно-аппаратных средств	Получение финансовой или иной материальной выгоды	НП.6	–	–
		Получение конкурентных преимуществ	–	НП.12	–
		Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки	НП.1; НП.4; НП.6	НП.12	–
		Непреднамеренные, неосторожные или неквалифицированные действия	НП.1; НП.6	НП.9; НП.10; НП.11; НП.12	НП.13
5.	Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем	Получение финансовой или иной материальной выгоды	НП.6	–	–
		Получение конкурентных преимуществ	НП.6	–	–
		Непреднамеренные, неосторожные или неквалифицированные действия	НП.1; НП.6	НП.7; НП.8	–
6.	Поставщики вычислительных услуг, услуг связи	Получение финансовой или иной материальной выгоды	НП.6	–	–
		Получение конкурентных преимуществ	–	НП.12	–
		Непреднамеренные, неосторожные или неквалифицированные действия	НП.1; НП.6	НП.7; НП.8; НП.9; НП.12	–
7.	Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ	Получение финансовой или иной материальной выгоды	НП.6	НП.11	–
		Получение конкурентных преимуществ	–	НП.12	–
		Непреднамеренные, неосторожные или неквалифицированные действия	НП.1; НП.6	НП.7; НП.8; НП.9; НП.12	–
8.	Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора	Получение финансовой или иной материальной выгоды	НП.6	–	–
8.		Непреднамеренные, неосторожные или неквалифицированные действия	НП.1; НП.6	НП.7; НП.8; НП.12	–
9.	Авторизованные пользователи систем и сетей	Получение финансовой или иной материальной выгоды	НП.6	–	–
		Любопытство или желание самореализации (подтверждение статуса)	НП.1; НП.4; НП.6	НП.12	–
		Непреднамеренные, неосторожные или неквалифицированные действия	НП.1; НП.4; НП.6	НП.7; НП.8; НП.11; НП.12	–
		Месть за ранее совершенные действия	НП.1; НП.3; НП.4; НП.6	–	–
10.	Системные администраторы и администраторы безопасности	Получение финансовой или иной материальной выгоды	НП.6	–	–
		Любопытство или желание самореализации (подтверждение статуса)	НП.1; НП.6	НП.12	–
		Непреднамеренные, неосторожные или неквалифицированные действия	НП.1; НП.4; НП.6	НП.7; НП.8; НП.9; НП.11; НП.12	НП.2; НП.13
		Месть за ранее совершенные действия	НП.1; НП.3; НП.4; НП.6	–	–
11.	Бывшие (уволенные) работники (пользователи)	Получение финансовой или иной материальной выгоды	НП.6	–	–
11.	Бывшие (уволенные) работники (пользователи)	Месть за ранее совершенные действия	НП.1; НП.3; НП.4; НП.6	–	–

1 2 3 4 5 6 7 8 9 10 ... 14