Перечень угроз безопасности информации, содержащийся в базе данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru)
Оценка угроз безопасности информации (согласно методике оценки угроз безопасности информации ФСТЭК от 05.02.2021
Оценка угроз безопасности информации проводится с целью выявления потенциальных опасностей, которые могут возникнуть в системах и сетях с определённой архитектурой и условиями работы.
В процессе оценки угроз безопасности информации решаются следующие задачи:
- Инвентаризация систем и сетей и определение потенциальных объектов воздействия угроз;
- Выявление источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз;
- Анализ способов реализации угроз безопасности информации;
- Оценка вероятности реализации угроз безопасности информации и определение их актуальности;
- Разработка сценариев реализации угроз безопасности информации в системах и сетях.
Для проведения оценки угроз безопасности информации используются следующие исходные данные:
Модели угроз безопасности информации, разработанные ФСТЭК в соответствии с Положением о Федеральной службе по техническому и экспортному контролю, утверждённым Указом Президента РФ от 16 августа 2004 г. N 1085
Отраслевые модели угроз безопасности информации
Описания векторов компьютерных атак, содержащиеся в базах данных и других источниках, доступных в сети Интернет (CAPEC, ATT&CK, OWASP, STIX, WASC и др.)
Документация на системы и сети, включая техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программную и эксплуатационную документацию, содержащую информацию о назначении и функциях, составе и архитектуре систем и сетей, группах пользователей и уровнях их полномочий и типах доступа, внешних и внутренних интерфейсах, а также другие документы, разработка которых предусмотрена требованиями по защите информации или национальными стандартами
Договоры, соглашения или другие документы, определяющие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры (в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры)
Нормативные правовые акты Российской Федерации, описывающие назначение, задачи и состав обрабатываемой информации и её правовой режим
Технологические, производственные карты или другие документы, содержащие описание управленческих, организационных, производственных и других основных процессов в рамках выполнения функций или осуществления видов деятельности обладателя информации
Результаты оценки рисков, проведённой обладателем информации и (или) оператором
1С Продажа и Услуги