Методика определения угроз безопасности информации в информационных системах (Проект)

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

Настоящий методический документ ФСТЭК России «Методика определе­ния угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 По­ложения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности ин­формации в государственных информационных системах (далее - информаци­онные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Миню­стом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может приме­няться для определения в соответствии с пунктом 1 части 2 статьи 19 Федераль­ного закона «О персональных данных» угроз безопасности персональных дан­ных при их обработке в информационных системах персональных данных, за­щита которых обеспечивается в соответствии с Составом и содержанием органи­зационных и технических мер по обеспечению безопасности персональных дан­ных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистри­рован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности инфор­мации, составляющей государственную тайну.

Методика предназначена для:

органов государственной власти, органов местного самоуправления и ор­ганизаций, являющихся в соответствии с законодательством Российской Феде­рации обладателями информации, заказчиками и (или) операторами информаци­онных систем;

организаций, осуществляющих в соответствии с законодательством Рос­сийской Федерации работы по созданию (проектированию) информационных систем;

организаций, осуществляющих в соответствии с законодательством Рос­сийской Федерации работы по защите информации в ходе создания (проектиро­вания) и эксплуатации информационных систем;

организаций, осуществляющих в соответствии с законодательством Рос­сийской Федерации работы по аттестации (оценке соответствия) информацион­ных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при пери­одическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных систе­мах различных классов и типов, разрабатываемых ФСТЭК России в соответ­ствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техниче­скому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют до­стичь целей такой оценки. Определение угроз, связанных со стихийными бед­ствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Мето­дики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим кана­лам, дальнейшая их оценка проводится в соответствии со специальными требо­ваниями и рекомендациями по технической защите конфиденциальной инфор­мации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не приме­няется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в ин­формационных системах персональных данных (ФСТЭК России, 2008 г.).