Новая методика оценки угроз безопасности информации

Взамен устаревшей «Методики определения актуальных угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 2008 года ФСТЭК России разработала новую «Методику оценки угроз безопасности информации», которая была утверждена 5 февраля 2021 г. (далее – Методика).

Новая Методика определения и оценки угроз безопасности информации отменяет рекомендации, приведённые в следующих документах:

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.),
• Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.)

Новый документ ФСТЭК России предназначен для специалистов по технической защите информации и представляет единую для всех видов защищаемой информации, не содержащей сведения, составляющие государственную тайну, методику оценки угроз безопасности информации, обрабатываемой в информационных системах и сетях. Новаторским в ней стало то, что разработаны методические рекомендации не только для определения актуальных угроз безопасности информации, обрабатываемой в информационных системах и сетях, но и для оценки возможного ущерба от их реализации в защищаемой системе.

Методика применяется для определения угроз безопасности информации, реализация которых возможна в системах и сетях, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Оценка угроз безопасности информации проводится в целях определения актуальных угроз безопасности информации, под которыми регулятор в сфере технической защиты информации подразумевает те угрозы безопасности информации, которые характерны для конкретной информационной системы и сети, реализация которых зависит от заданной архитектуры и условий функционирования самой системы и её компонентов.

Согласно Методик оценка угроз безопасности информации разделятся на следующие этапы:

1. определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
2. определение возможных объектов воздействия угроз безопасности информации;
3. оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.

В результате разрабатывается модель угроз и нарушителя безопасности информации для данной информационной системы и сети.

В процессе функционирования систем и сетей модель угроз безопасности информации должна поддерживаться в актуальном состоянии. Ведение модели угроз безопасности информации и поддержание ее в актуальном состоянии может осуществляться в электронном виде.

Более подробную информацию о применении новой методики оценки угроз безопасности информации можно получить под руководством опытных преподавателей при обучении в Приволжском институте повышения квалификации ФНС России по программам дополнительного профессионального образования:

• программа профессиональной переподготовки «Информационная безопасность» (продолжительностью 502 часа);
• программы повышения квалификации по направлению «Информационная безопасность»:
• Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (110 часов);
• Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа (110 часов);
• Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (54 часа);
• Техническая защита информации. Организация защиты информации, содержащей сведения, составляющие государственную тайну (110 часов);
• Техническая защита информации. Способы и средства защиты информации, составляющей государственную тайну от утечки по техническим каналам (110 часов);
• Защита информации с использованием отечественного программного обеспечения (54 часа);
• Оператор удостоверяющего центра (102 часа).

Программа профессиональной переподготовки «Информационная безопасность» согласована с ФСБ России и с ФСТЭК России, а большинство программ повышения квалификации по направлению «Информационная безопасность» согласованы с ФСТЭК России, что подтверждает качество и актуальность их содержания.

Приглашаем всех заинтересованных в качественном обучении и повышении квалификации по защите информации в Институт!

Все вопросы по программам обучения можно задать в отдел дополнительного профессионального образования по телефону

8 (831) 437-08-51.

Лабутин Н.Г.,

заведующий кафедрой

информационной безопасности,

канд. техн. наук, доцент