Рекомендуемая структура модели угроз безопасности информации
УТВЕРЖДАЮ | |
Руководитель органа | |
"____" ______________ 20___ г. |
Модель угроз безопасности информации | ||
" | " | |
наименование системы и (или) сети |
1. Общие положения
Раздел "Общие положения" содержит:
назначение и область действия документа;
нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз;
наименование обладателя информации, заказчика, оператора систем и сетей;
подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей;
наименование организации, привлекаемой для разработки модели угроз безопасности информации (при наличии).
2. Описание систем и сетей и их характеристика как объектов защиты
Раздел "Описание систем и сетей и их характеристика как объектов защиты" содержит:
наименование систем и сетей, для которых разработана модель угроз безопасности информации;
класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных;
нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и (или) функционируют системы и сети;
назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим;
основные процессы (бизнес-процессы) обладателя информации, оператора, для обеспечения которых создаются (функционируют) системы и сети;
состав и архитектуру систем и сетей, в том числе интерфейсы и взаимосвязи компонентов систем и сетей;
описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа (в состав групп пользователей включаются все пользователи, для которых требуется авторизация при доступе к информационным ресурсам, и пользователи, для которых не требуется авторизация (например, предоставлен доступ к сайту без прохождения авторизации);
описание внешних интерфейсов и взаимодействий систем и сетей с пользователями (в том числе посредством машинных носителей информации, средств ввода-вывода, веб-приложений), иными системами и сетями, обеспечивающими системами, в том числе с сетью "Интернет";
информацию о функционировании систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, о модели предоставления вычислительных услуг, о распределении ответственности за защиту информации между обладателем информации, оператором и поставщиком вычислительных услуг, об условиях использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (при наличии).
К модели угроз безопасности информации могут прилагаться схемы и рисунки, иллюстрирующие состав и архитектуру систем и сетей, интерфейсы взаимодействия компонентов системы и сети, группы пользователей, а также другие поясняющие материалы.
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации