Нормативно-правовые акты ФСТЭК

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 3

Нормативно-правовые акты ФСТЭК

1.   Общиеположения

Раздел «Общие положения» содержит:

назначение и область действия документа;

нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз;

наименование обладателя информации, заказчика, оператора систем и сетей;

подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей;

наименование организации, привлекаемой для разработки модели угроз безопасности информации (при наличии).

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 2

Нормативно-правовые акты ФСТЭК

Рекомендации по формированию

экспертной группы и проведению экспертной оценки при оценке угроз безопасности информации

Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при оценке угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба  в результате их реализации. Завышение экспертами прогнозов и предположений при моделировании угроз безопасности информации может повлечь за собой неоправданные расходы на нейтрализацию (блокирование) угроз, являющихсянеактуальными.

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 1

Нормативно-правовые акты ФСТЭК

 

Термины и определения,
применяемые для целей настоящего методического документа

Архитектура систем и сетей: совокупность основных структурно- функциональных характеристик, свойств, компонентов систем и сетей, воплощенных в информационных ресурсах и компонентах, правилах их взаимодействия, режимах обработки информации.
Взаимодействующая (смежная) система: система или сеть, которая в рамках установленных функций имеет взаимодействие посредством сетевых интерфейсов с системой и сетью оператора и не включена им в границу процесса оценки угроз безопасности информации.

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - 5. Оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности

Нормативно-правовые акты ФСТЭК

5.1 Определение источников угроз безопасности информации

5.1.1. В ходе оценки угроз безопасности информации должны быть определены возможные антропогенные источники угроз безопасности информации, к которым относятся лица (группа лиц), осуществляющие реализацию угроз безопасности информации путем несанкционированного доступа и (или) воздействия на информационные ресурсы и (или) компоненты систем и сетей, – актуальные нарушители.

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - 4. Определение возможных объектов воздействия угроз безопасности информации

Нормативно-правовые акты ФСТЭК

4.1. В ходе оценки угроз безопасности информации должны быть определены информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям – объекты воздействия.
Совокупность объектов воздействия и их интерфейсов определяет границы процесса оценки угроз безопасности информации и разработки модели угроз безопасности информации 

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - 3. Определение негативных последствий от реализации (возникновения) угроз безопасности информации

Нормативно-правовые акты ФСТЭК

3.1. В ходе оценки угроз безопасности информации должны быть определены негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации.

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - 2. Порядок оценки угроз безопасности информации

Нормативно-правовые акты ФСТЭК

2.1. Оценка угроз безопасности информации проводится в целях определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях с заданной архитектурой и в условиях их функционирования – актуальных угроз безопасности информации.

1
2
3