Контакты
Подписка
МЕНЮ
Контакты
Подписка

Модель угроз. Методика определения угроз безопасности. - Форум по вопросам информационной безопасности

Модель угроз. Методика определения угроз безопасности. - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 3 >

Автор: Алексей | 107967 13.03.2020 11:19
Добрый день!
Подскажите пожалуйста, есть методический документ(проект): "МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ" 2015 г. В настоящее время документ не утвержден? Могу ли я на него опираться (ссылаться) при разработке Модели угроз(НЕ персональные данные)?

Второй вопрос: На какие документы нужно опираться при разработке "Модель угроз"? (не содержащие персональные данные). Я нашел такие: ГОСТ Р 56546 -2015, "Базовая модель угроз безопасности персональных данных..." (Но это ПДН.)
По ПДН много информации, но в моем случае нет ПДН.

Подскажите пожалуйста.

Автор: nekto | 107970 13.03.2020 13:33
посмотрите ГОСТ Р 51275-2006

"...Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации..."

а методика следующая:
для каждой угрозы посчитать
ожидаемый ущерб = ущерб от угрозы * вероятность угрозы
если "ожидаемый ущерб" окажется выше некоторого принятого вами уровня, то для вас эта угроза - актуальна...

Автор: oko | 107974 14.03.2020 13:18
to Алексей
Если не ПДн (никаким образом), юзайте Проект 2015 г. Потому что иной нормативки нет, а делать надо. Желательно, конечно, применение Проекта заранее согласовать с местным УФСТЭК, если объект серьезный. Если же это ГИС/МИС К3 или вообще иное, чему по ТЗ требуется ЧМУ - imho, не парьтесь и применяйте тот инструмент, который удобно...

Автор: WORM, MK | 107975 15.03.2020 11:27
Алексей,
если время терпит - подождите месяц. Скоро ФСТЭК повесит на сайте проект новой методики, которую сейчас вычитывают (ошибки есть, да, но она практически готова).
Если нет - пользуйтесь проектом 2015 г, но новая методика будет сильно-сильно отличаться от проекта (разве что нарушителя можете по проекту описать).
Методичики по ПДн применяться не будут.

Автор: Алексей | 107987 18.03.2020 14:08
Спасибо большое, коллеги!
Ещё такой вопрос: Правильно ли я понимаю, мыслю, что угрозы безопасности информации в финале Модели угроз я выбираю из Банка данных угроз ФСТЭК? (Которые подходят под угрозы для моей АС).
Ещё обратил внимание на Профили защиты. (САВЗ, СДЗ и т.д.) В них прописаны угрозы, которым противостоит тот или иной Объект Оценки. Так вот, уместно писать так, что "У АС такие-то угрозы безопасности, которые защищаются или соответствуют такие-то Профили защиты и соответственно такие-то технические меры."?
И если я не прав, то в каких ситуациях я должен обращаться к Профилям защиты?
Спасибо!

Автор: WORM, MK | 107992 18.03.2020 20:54
Верно. Угрозы (особенно для ГИС и объектов КИИ) нужно выбирать из БДУ.
С профилями защиты лучше не парьтесь: они нужны производителям СЗИ, которые хотят их сертифицировать. При разработке МУ профили не нужны.

Формально, на профиль можно ссылаться, когда выбираются меры противодействия угрозам (например, антивир 4 класса, согласно профилю, блокирует такие-то угрозы. У меня антивир 4 класса - значит, я блокирую эти угрозы). Но это абстракция, плюс нет связи с БДУ.
Так что не парьтесь.

Автор: Алексей | 107993 18.03.2020 21:07
WORM, MK
Спасибо Вам!
У меня какая ситуация, что есть грубо говоря АС(которой нет пока, проектируется), обрабатывает конфиденциальную информацию.(Не ПДн, все методики по ПДн не подходят). И надо сделать Модель угроз на АС, которой еще нет. Вот загвоздка с определением УБИ.
Вы с таким сталкивались?
P.S. И я правильно понимаю, нужно будет потом классифицировать АС? (1Г типа).
Спасибо!!

Автор: sekira | 107995 19.03.2020 07:23
"Угрозы (особенно для ГИС и объектов КИИ) нужно выбирать из БДУ"
Это где то написано или ИМХО? Уязвимости не равно угрозы!

Автор: WORM, MK | 107997 19.03.2020 08:48
Алексей,
если АС не ИСПДн и не ГИС, то решайте сами: какие угрозы и чем пользоваться. Перво-наперво нужно определиться, а по каким требованиям Вы ее собираетесь защищать? По РД АС? По 17-му приказу? Или?
Если по РД АС, то МУ пишете как в голову взбредет. Если по 17-му - пользуйтесь БДУ.

В проекте новой методички по угрогзам сказано, что на проектируемую ИС МУ пишется исходя из предположений, какое ПО, ИТ и железо будут применяться.

Автор: WORM, MK | 107998 19.03.2020 08:49
"Это где то написано или ИМХО? Уязвимости не равно угрозы!"

sekira, уж от Вас не ожидал... Причем тут уязвимости? Речь об угрозах из БДУ. А о том, что БДУ должен использоваться при разработке МУ, читайте приказы 17 и 239.

Страницы: 1 2 3 >

Просмотров темы: 2605

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*