Классификация информационных систем,
моделирование угроз, формирование требований к системе защиты
Для определения возможных способов реализации угроз безопасности информации и последствий их реализации осуществляется оценка угроз безопасности, результаты которой должны быть зафиксированы в модели угроз безопасности информации.
Оценка угроз безопасности информации осуществляется на основании Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 05.02.2021 и включает следующие этапы:
- определение негативных последствий, которые могут наступить от реализации угроз безопасности информации;
- инвентаризация информационных ресурсов (систем и сетей) организации;
- определение источников угроз безопасности информации;
- оценка возможностей нарушителей по реализации угроз безопасности информации;
- оценка способов реализации угроз безопасности информации;
- оценка возможности реализации угроз безопасности информации;
- определение актуальности угроз безопасности информации;
- оценка сценариев реализации угроз безопасности информации.
Классификация осуществляется по следующим системам классификации:
- Государственные информационные системы (ГИС) – приказ ФСТЭК России от 11.02.2013 № 17;
- Информационные системы персональных данных (ИСПДн) – постановление Правительства Российской Федерации от 01.11.2012 № 1119;
- Информационные (автоматизированные) системы, предназначенные для обработки конфиденциальной информации;
- Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденным решением Председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992;
Формирование требований к созданию защищенной информационной системы включает в себя:
- определение требуемого класса (уровня) защищенности информационной системы;
- определение актуальных угроз безопасности информации и разработка модели угроз безопасности информации применительно к процессам функционирования информационной системы;
- разработка рекомендаций по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации (при необходимости);
- определение основных требований к системе защиты информации информационной системы на основании результатов классификации и моделирования угроз безопасности информации.
Для определения возможных способов реализации угроз безопасности информации и последствий их реализации осуществляется оценка угроз безопасности, результаты которой должны быть зафиксированы в модели угроз безопасности информации.
Оценка угроз безопасности информации осуществляется на основании Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 05.02.2021 и включает следующие этапы:
- определение негативных последствий, которые могут наступить от реализации угроз безопасности информации;
- инвентаризация информационных ресурсов (систем и сетей) организации;
- определение источников угроз безопасности информации;
- оценка возможностей нарушителей по реализации угроз безопасности информации;
- оценка способов реализации угроз безопасности информации;
- оценка возможности реализации угроз безопасности информации;
- определение актуальности угроз безопасности информации;
- оценка сценариев реализации угроз безопасности информации.