Безопасность цифровых технологий

БЕЗОПАСНОСТЬ ЦИФРОВЫХ ТЕХНОЛОГИЙ

БЕЗОПАСНОСТЬ
ЦИФРОВЫХ ТЕХНОЛОГИЙ

English | Русский

Последний выпуск
№3(114) Июль - Сентябрь 2024

ВОПРОСЫ ОРГАНИЗАЦИИ ЭКСПЕРТИЗЫ МОДЕЛИ УГРОЗ

Выпуск № 1 (112) январь - март 2024
Авторы:

Афанасьев Александр Андреевич
DOI: http://dx.doi.org/10.17212/2782-2230-2024-1-42-51
Аннотация

В настоящее время существует необходимость разработки модели угроз, регулируемой рядом нормативно-правовых документов, для различных информационных систем, которые подлежат защите в соответствии с текущим законодательством. Сама по себе модель угроз представляет собой документ, основным назначением которого является определение актуальных угроз для конкретной системы. Однако существуют различные типы информационных систем, для каждой из которых задача по составлению модели угроз может иметь разную ресурсоемкость. Также важным аспектом является правильность разработанной модели угроз, поскольку существует закон об ответственности за правонарушения в сфере защиты информации. Исходя из этого возникает потребность в рассмотрении особенностей построения модели угроз для разных типов информационных систем с целью упрощения ее экспертизы. В работе представлен структурированный алгоритм построения модели угроз с особенностями для разных типов информационных систем.


Ключевые слова: защита информации, модель угроз, экспертиза модели угроз, информационная система персональных данных, государственная информационная система

Список литературы

1.Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 07.03.2024).



2.Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» URL: https://fstec.ru/normotvor-cheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013-gn-17 (дата обращения: 07.03.2024).



3.Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 07.03.2024).



4.Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 07.03.2024).



5.Федеральный закон Российской Федерации от 27 июля 2006 г. № 152 «О персональных данных». – URL: https://docs.cntd.ru/document/901990046 (дата обращения: 07.03.2024).



6.Методический документ. Методика оценки угроз безопасности информации: утв. ФСТЭК России 5 февраля 2021 г. – URL: https://fstec.ru/

normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2169-informatsion-noe-soobshcheniefstek-rossii-ot-15-fevralya-2021-g-n-240-22-690 (дата обращения: 07.03.2024).



7.Приказ ФСБ от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». – URL: https://base.garant.ru/70727118 (дата обращения: 07.03.2024).



8.Маковский К.Е. Анализ методик разработки модели угроз и модели нарушителя // Фундаментальные и прикладные научные исследования: актуальные вопросы, достижения и инновации: сборник статей XXVII Международной научно-практической конференции. – Пенза, 2019. – С. 37–39.



9.Веденеев И.А., Коновалов М.В. К вопросу о разработке модели угроз и модели нарушителя с целью создания системы технической защиты информации // Аллея науки. – 2018. – № 10 (26), т. 2. – С. 979–982.



10.Ерышов В.Г. Рекомендации по структуре и содержанию современных моделей угроз безопасности информации // Методики фундаментальных и прикладных научных исследований: сборник статей Всероссийской научной конференции. – СПб., 2022. – С. 38–40.

Для цитирования:

Афанасьев А.А. Вопросы организации экспертизы модели угроз // Безопасность цифровых технологий. – 2024. – № 1 (112).?– С. 42–51. – DOI: 10.17212/2782-2230-2024-1-42-51.

For citation:

Afanasev A.A. Voprosy organizatsii ekspertizy modeli ugroz [Issues of organization of threat model expertise]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2024, no. 1 (112), pp. 42–51. DOI: 10.17212/2782-2230-2024-1-42-51.

Просмотров: 449