Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 3
Приложение 3 к Методике оценки угроз безопасности информации
Рекомендуемая структура модели угроз безопасности информации
УТВЕРЖДАЮ
Руководитель органа государственной власти (организации) или иное уполномоченное лицо
« » 20 г.
Модель угроз безопасности информации
« »
наименование системы и (или) сети
1. Общиеположения
Раздел «Общие положения» содержит:
назначение и область действия документа;
нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз;
наименование обладателя информации, заказчика, оператора систем и сетей;
подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей;
наименование организации, привлекаемой для разработки модели угроз безопасности информации (при наличии).
2. Описание систем и сетей и их характеристика как объектов защиты
Раздел «Описание систем и сетей и их характеристика как объектов защиты» содержит:
наименование систем и сетей, для которых разработана модель угроз безопасности информации;
класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных;
нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и (или) функционируют системы и сети;
назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим;
основные процессы (бизнес-процессы) обладателя информации, оператора, для обеспечения которых создаются (функционируют) системы и сети;
состав и архитектуру систем и сетей, в том числе интерфейсы и
взаимосвязи компонентов систем и сетей;
описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа (в состав групп пользователей включаются все пользователи, для которых требуется авторизация при доступе к информационным ресурсам, и пользователи, для которых не требуется авторизация (например, предоставлен доступ к сайту без прохождения авторизации);
описание внешних интерфейсов и взаимодействий систем и сетей с пользователями (в том числе посредством машинных носителей информации, средств ввода-вывода, веб-приложений), иными системами и сетями, обеспечивающими системами, в том числе с сетью «Интернет»;
информацию о функционировании систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, о модели предоставления вычислительных услуг, о распределении ответственности за защиту информации между обладателем информации, оператором и поставщиком вычислительных услуг, об условиях использования информационно- телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (при наличии).
К модели угроз безопасности информации могут прилагаться схемы и рисунки, иллюстрирующие состав и архитектуру систем и сетей, интерфейсы взаимодействия компонентов системы и сети, группы пользователей, а также другие поясняющие материалы.
3. Возможные негативные последствия от реализации (возникновения) угроз безопасностиинформации
Раздел «Возможные негативные последствия от реализации (возникновения) угроз безопасности информации» содержит:
описание видов рисков (ущербов), актуальных для обладателя информации, оператора, которые могут наступить от нарушения или прекращения основных процессов;
описание негативных последствий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба).
4. Возможные объекты воздействия угроз безопасностиинформации
Раздел «Возможные объекты воздействия угроз безопасности информации» содержит:
наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов обладателя информации, оператора;
описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям.
К модели угроз безопасности информации может прилагаться схема с отображением объектов воздействия и их назначения в составе архитектуры систем и сетей.
5. Источники угроз безопасностиинформации
Раздел «Источники угроз безопасности информации» содержит: характеристику нарушителей, которые могут являться источниками угроз
безопасности информации, и возможные цели реализации ими угроз безопасности информации;
категории актуальных нарушителей, которые могут являться источниками угроз безопасностиинформации;
описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей.
К модели угроз безопасности информации могут прилагаться рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы.
6. Способы реализации (возникновения) угроз безопасности информации
Раздел «Способы реализации (возникновения) угроз безопасности информации» включает:
описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий;
описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением типов логических, физических интерфейсов объектов воздействия, в том числе требующих физического доступа к ним, а также соответствующие им способы реализации угроз безопасности информации.
7. Актуальные угрозы безопасностиинформации
Раздел «Актуальные угрозы безопасности информации» включает: перечень возможных (вероятных) угроз безопасности информациидля
соответствующих способов их реализации и уровней возможностей нарушителей;
описание возможных сценариев реализации угроз безопасности информации;
выводы об актуальности угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.