Оценка угроз безопасности информации (согласно методике оценки угроз безопасности информации ФСТЭК от 05.02.2021

Оценка угроз безопасности информации проводится с целью выявления потенциальных опасностей, которые могут возникнуть в системах и сетях с определённой архитектурой и условиями работы.

В процессе оценки угроз безопасности информации решаются следующие задачи:

- Инвентаризация систем и сетей и определение потенциальных объектов воздействия угроз;

- Выявление источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз;

- Анализ способов реализации угроз безопасности информации;

- Оценка вероятности реализации угроз безопасности информации и определение их актуальности;

- Разработка сценариев реализации угроз безопасности информации в системах и сетях.


Для проведения оценки угроз безопасности информации используются следующие исходные данные:


1

Перечень угроз безопасности информации, содержащийся в базе данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru)

2

Модели угроз безопасности информации, разработанные ФСТЭК в соответствии с Положением о Федеральной службе по техническому и экспортному контролю, утверждённым Указом Президента РФ от 16 августа 2004 г. N 1085

3

Отраслевые модели угроз безопасности информации

4

Описания векторов компьютерных атак, содержащиеся в базах данных и других источниках, доступных в сети Интернет (CAPEC, ATT&CK, OWASP, STIX, WASC и др.)

5

Документация на системы и сети, включая техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программную и эксплуатационную документацию, содержащую информацию о назначении и функциях, составе и архитектуре систем и сетей, группах пользователей и уровнях их полномочий и типах доступа, внешних и внутренних интерфейсах, а также другие документы, разработка которых предусмотрена требованиями по защите информации или национальными стандартами

6

Договоры, соглашения или другие документы, определяющие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры (в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры)

7

Нормативные правовые акты Российской Федерации, описывающие назначение, задачи и состав обрабатываемой информации и её правовой режим

8

Технологические, производственные карты или другие документы, содержащие описание управленческих, организационных, производственных и других основных процессов в рамках выполнения функций или осуществления видов деятельности обладателя информации

9

Результаты оценки рисков, проведённой обладателем информации и (или) оператором

Бесплатная консультация и расчет
Наши специалисты готовы ответить на все ваши вопросы и подобрать оптимальное решение, соответствующее вашим требованиям
Стоимость разработки политик и руководств ИБ. Расследование инцидентов ИБ (форензика)
Свяжитесь с менеджером БИН для детального просчета.