Разработка модели угроз безопасности информации

Что такое модель угроз безопасности

Модель угроз безопасности информации — это структурированное описание рисков, связанных с деятельностью информационной системы. В ней отражаются возможные нарушители, уязвимости и сценарии атак.

Главное назначение — предсказать, что может угрожать организации, и заранее определить меры защиты.

Модель угроз связывает технические детали с управленческими решениями. Руководство получает инструмент, который помогает рационально распределять бюджет и ресурсы для защиты критичных процессов.

Что такое модель угроз безопасности по методике ФСТЭК

ФСТЭК России закрепила порядок составления модели угроз безопасности в ряде методических документов:

1. Методический документ «Методика оценки угроз безопасности информации» (утвержден ФСТЭК России 05.02.2021).
2. Приказ ФСТЭК России № 17 от 11.02.2013.
3. Приказ ФСТЭК России № 21 от 11.02.2013.
4. Приказ ФСТЭК России № 31 от 25.04.2014.
5. Приказ ФСТЭК России № 239 от 30.12.2019.

Этот подход обязателен для государственных систем (ГИС), информационных систем (ИС) персональных данных и объектов критической информационной инфраструктуры (КИИ). Методика описывает, как выявлять угрозы, классифицировать их по степени значимости и фиксировать в отчетных материалах.

Особенность — учет российских реалий. В список включены риски, связанные с использованием зарубежных решений, удаленным доступом к системам, а также с вероятностью действий инсайдеров. Это делает документ практически применимым в условиях конкретных компаний.

Кому и когда требуется моделирование

Моделирование угроз безопасности информации применяется в ситуациях:

• разработка или внедрение новых ИС;
• модернизация действующей инфраструктуры;
• аттестация по требованиям ФСТЭК и ФСБ;
• эксплуатация объектов КИИ.

Наличие документа крайне важно для организаций, работающих с персональными данными. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» напрямую обязывает такие компании иметь модель угроз и обновлять ее при изменении системы.

Нормативно-правовые документы

Разработка модели угроз безопасности невозможна без опоры на действующие нормативные акты. В работе учитываются:

• ФЗ №152 «О персональных данных»;
• ФЗ №187 «О безопасности КИИ»;
• приказы ФСТЭК №17, №21, №31, №239;
• методические рекомендации ФСТЭК по моделированию угроз.

Корректно составленный документ — это не только реальная защита, но и гарантия соответствия закону, что критично при проверках и аудите.

Основные этапы моделирования угроз

Разработка модели угроз информационной безопасности выполняется поэтапно, это исключает пробелы в анализе:

• Определение, какие объекты и процессы входят в состав информационной системы и где проходит ее граница с внешней средой.
• Выделение бизнес-процессов, требующих приоритетной защиты.
• Идентификация возможных нарушителей.
• Поиск уязвимостей и оценка их значимости.
• Формирование сценариев атак и классификация угроз.
• Расчет вероятности реализации и потенциального ущерба.
• Разработка предложений по защите.
• Подготовка итогового документа.

Именно такой алгоритм позволяет создать полный и ожидаемый результат.

Категории нарушителей

При составлении модели угроз безопасности оцениваются разные источники риска:

• Внешние злоумышленники — преступные группировки, конкуренты, хакеры.
• Внутренние инсайдеры — сотрудники, имеющие доступ к системам.
• Технические факторы — сбои оборудования, ошибки конфигурации, аварии.
• Партнеры и подрядчики — контрагенты, получившие доступ к инфраструктуре.

Оценка проводится по возможностям, ресурсам и мотивации нарушителя. Это позволяет понять, какие угрозы наиболее реальны.

Актуальные угрозы

Список актуальных угроз постоянно растёт. Наиболее значимыми считаются:

• Фишинг и социальная инженерия.
• Вредоносные программы, включая шифровальщиков.
• Эксплуатация уязвимостей в ПО и оборудования.
• Утечки данных через сотрудников или подрядчиков.
• Санкционные риски и сложности импортозамещения.

Составление модели угроз безопасности информации помогает структурировать эти угрозы и спланировать комплексную защиту.

Разработка модели угроз в УИБ

Наша компания выполняет разработку модели угроз безопасности для организаций разных отраслей. Мы учитываем специфику бизнеса клиента и требования регуляторов.

Работа включает:

• анализ системы и выявление критичных активов;
• определение уязвимостей и рисков;
• разработку мер по снижению угроз;
• подготовку отчетности в соответствии с приказами ФСТЭК.

Итогом становится готовый документ, который используется для аттестации, проверки или внутреннего контроля.

Преимущества работы с нашей компанией

Компания «Управление информационной безопасности» имеет лицензии ФСТЭК и ФСБ, а также опыт реализации проектов для государственных и коммерческих организаций более 6 лет.

С нашей компанией клиент получает:

• учёт особенностей инфраструктуры заказчика;
• строгое соответствие нормативам;
• практические рекомендации, а не только формальный документ;
• поддержку экспертов на этапах, начиная с анализа и заканчивая внедрением.

Наша компания работает не только с документацией, но и с практическими мерами защиты. Наша цель — реальная защита и повышение уровня безопасности компании.

Разработка модели угроз безопасности информации — ключевой элемент стратегии защиты. Это инструмент, который снижает риски атак, помогает пройти проверки регуляторов и укрепляет доверие клиентов.

Корректно разработанная модель угроз позволяет минимизировать риски и сохранить устойчивость бизнес-процессов.

Сотрудничество с нашей компанией дает заказчикам уверенность: их системы защищены, а требования законодательства соблюдены.

Если хотите обсудить задачу, оставьте заявку на сайте или свяжитесь с нами по телефону: 8 (800) 707-94-97 или e-mail: sales@uibcom.ru.