Приложение 3. РЕКОМЕНДУЕМАЯ СТРУКТУРА МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Приложение 3
к Методике оценки угроз
безопасности информации 
РЕКОМЕНДУЕМАЯ СТРУКТУРА
МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
|
УТВЕРЖДАЮ
|
|
|
Руководитель органа
государственной власти
(организации) или иное
уполномоченное лицо
______________________
"__" _________ 20__ г.
|
Модель угроз безопасности информации
"_______________________________________"
наименование системы и (или) сети
1. Общие положения
Раздел "Общие положения" содержит:
назначение и область действия документа;
нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз;
наименование обладателя информации, заказчика, оператора систем и сетей;
подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей;
наименование организации, привлекаемой для разработки модели угроз безопасности информации (при наличии).
2. Описание систем и сетей и их характеристика как объектов защиты
Раздел "Описание систем и сетей и их характеристика как объектов защиты" содержит:
наименование систем и сетей, для которых разработана модель угроз безопасности информации;
класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных;
нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и (или) функционируют системы и сети;
назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим;
основные процессы (бизнес-процессы) обладателя информации, оператора, для обеспечения которых создаются (функционируют) системы и сети;
состав и архитектуру систем и сетей, в том числе интерфейсы и взаимосвязи компонентов систем и сетей;
описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа (в состав групп пользователей включаются все пользователи, для которых требуется авторизация при доступе к информационным ресурсам, и пользователи, для которых не требуется авторизация (например, предоставлен доступ к сайту без прохождения авторизации);
описание внешних интерфейсов и взаимодействий систем и сетей с пользователями (в том числе посредством машинных носителей информации, средств ввода-вывода, веб-приложений), иными системами и сетями, обеспечивающими системами, в том числе с сетью "Интернет";
информацию о функционировании систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, о модели предоставления вычислительных услуг, о распределении ответственности за защиту информации между обладателем информации, оператором и поставщиком вычислительных услуг, об условиях использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (при наличии).
К модели угроз безопасности информации могут прилагаться схемы и рисунки, иллюстрирующие состав и архитектуру систем и сетей, интерфейсы взаимодействия компонентов системы и сети, группы пользователей, а также другие поясняющие материалы.
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
Раздел "Возможные негативные последствия от реализации (возникновения) угроз безопасности информации" содержит:
описание видов рисков (ущербов), актуальных для обладателя информации, оператора, которые могут наступить от нарушения или прекращения основных процессов;
описание негативных последствий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба).
4. Возможные объекты воздействия угроз безопасности информации
Раздел "Возможные объекты воздействия угроз безопасности информации" содержит:
наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов обладателя информации, оператора;
описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям.
К модели угроз безопасности информации может прилагаться схема с отображением объектов воздействия и их назначения в составе архитектуры систем и сетей.
5. Источники угроз безопасности информации
Раздел "Источники угроз безопасности информации" содержит:
характеристику нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз безопасности информации;
категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации;
описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей.
К модели угроз безопасности информации могут прилагаться рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы.
6. Способы реализации (возникновения) угроз безопасности информации
Раздел "Способы реализации (возникновения) угроз безопасности информации" включает:
описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий;
описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением типов логических, физических интерфейсов объектов воздействия, в том числе требующих физического доступа к ним, а также соответствующие им способы реализации угроз безопасности информации.
7. Актуальные угрозы безопасности информации
Раздел "Актуальные угрозы безопасности информации" включает:
перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;
описание возможных сценариев реализации угроз безопасности информации;
выводы об актуальности угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.
