• +7 (499) 112-44-47

      +7 (812) 241-17-61

Заказать звонок

модель угроз ФСТЭК

Основные правила создания моделей угроз: указания ФСТЭК

Выступление представителей ФСБ И ФСТЭК на 8 международной конференции по защите персональных данных касалось в основном проблем определения актуальных угроз для БД и создания моделей для эффективной защиты. Регуляторы обобщили опыт последний проверок и акцентировали внимание слушателей на следующих моментах:

1. В подавляющем большинстве проверенных организаций утверждённые модели угроз не соответствовали требованиям ФСТЭК. Основные нарушения:

  • при моделировании не принимались во внимание уязвимости и угрозы из Базы уязвимостей, формируемой ФСТЭК;
  • при создании модели угроз не учитывались уязвимости, связанные с конкретной используемой технологией (например, применяя виртуализацию, необходимо учитывать угрозы, связанные именно с данной технологией);
  • категории нарушителей или, напротив, их исключение из модели никак не обосновано с точки зрения актуальности угрозы;
  • неправильное определение классов средств контроля защищенности ИС;
  • неинформативная описательная часть модели угроз (к примеру, отсутствует полное описание информационной системы и обоснование актуальности угроз для конкретной ИС).

2. Для органов исполнительной власти, где ведётся обработка персональных данных, необходимо разработать и принять НПА, которые будут чётко регламентировать обработку персональных данных и содержать перечень актуальных угроз для конкретных информационных систем, используемых при данных видах деятельности. В качестве примера и ориентира приведён Приказ Минюста РФ № 208 от 23 октября 2017 года, где достаточно чётко описаны угрозы и разработка защиты ИС. Регуляторы отметили, что угрозы и уязвимости для конкретных видов деятельности могут быть описаны как в виде перечня, так и скомпонованы по типам ИС (в случае использования нетиповых).

3. ФСТЭК требует поддерживать модель угроз в актуальном состоянии, «привязывая» МУ к свежей версии Базы уязвимостей ФСТЭК. Это следует иметь в виду при получении лицензии ФСТЭК на ТЗКИ и создании систем, где будут обрабатываться персональные данные. При каждом обновлении базы угроз информационной безопасности необходимо актуализировать и модель угроз, пересматривая перечень уязвимостей и принимая новый приказ.

Есть вопросы по защите информации при лицензировании ФСТЭК? Мы поможем разобраться. Звоните!

Заказать обратный звонок

Трекбэк с Вашего сайта.

Оставить комментарий

    • Москва
      • Главный офис
        г. Москва, Колодезный пер., дом 14
      • Понедельник — Пятница: 10:00 — 20:00
        Суббота — Воскресенье: 11:00 — 20:00
      • +7 (499) 112-44-47
      • info@licenziya-fsb.com
    • Санкт-Петербург
      • Дополнительный офис
        г. Санкт-Петербург, ул. Мира, дом 16
      • Понедельник – Пятница: 10:00 – 20:00
        Суббота — Воскресенье 11:00 — 20:00
      • +7 (812) 241-17-61
      • info@licenziya-fsb.com
Оставьте заявку