Конспекты
по Основам управления информационной безопасности
Построение модели угроз ИСПДн
Цель работы
Изучить нормативные документы ФСТЭК по построению модели угроз. Построить модель угроз информационной системы персональных данных функционирующей в Вашей организации.
Теоретическая часть
В соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» разработанной ФСТЭК, определение уровня исходной защищённости производится на основании анализа технических и эксплуатационных характеристик ИСПДн.
Исходный уровень защищенности определяется следующим образом:
ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).
ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.
ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.
В соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» разработанной ФСТЭК, под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Контрольные вопросы
Какие показатели необходимо рассчитать для построения модели угроз ПДн?
- Вероятность реализации угрозы
- Показатель опасности угрозы для ИСПДн
- Возможность реализации угрозы
- Актуальность угрозы
Что обозначает коэффициент реализуемости угрозы?
Сумма коэффициентов градации вероятности возникновения угрозы и степени исходной защищенности деленной на 20
Какие угрозы являются актуальными?
Те угрозы, которые попадают под методику определения актуальных угроз безопасности персональных данных утвержденную властями РФ от 14.02.2008
В соответствии с каким нормативным документом строится модель угроз?
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
В соответствии с каким нормативным документом, и в каких случаях строится модель нарушителя?
- Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006
- «Модель угроз и нарушителя Приказ ФСБ РФ №378»