Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] модель угроз
скачав в интернете несколько частных моделей угроз для ИСПДн,нашёл в них следующие угрозы:

5.2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
5.2.1.1.Кража ПЭВМ.
5.2.1.2. Кража носителей информации
5.2.1.3. Кража ключей и атрибутов доступа
5.2.1.4.Кражи, модификации, уничтожения информации
5.2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
5.2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
5.2.1.7. Несанкционированное отключение средств защиты

5.2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
5.2.2.1. Действия вредоносных программ (вирусов).
5.2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных.
5.2.2.3. Установка ПО не связанного с исполнением служебных обязанностей

5.2.3 .Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
5.2.3.1. Утрата ключей и атрибутов доступа
5.2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
5.2.3.3. Непреднамеренное отключение средств защиты
5.2.3.4. Выход из строя аппаратно-программных средств
5.2.3.5. Сбой системы электроснабжения
5.2.3.6.Стихийное бедствие

5.2.4. Угрозы преднамеренных действий внутренних нарушителей
5.2.4.1. Доступ к информации, модификация, уничтожение лиц, не допущенных к ее обработке
5.2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке

вопрос по сему следующий, откуда взялись эти угрозы? в базовой модели угроз их нет...
:) а вы спросите того, чья это МУ. Он точно знает.
нет возможности спросить...да я и не только у него видел...
А можете выложить эту модель угроз? Для более детально исследования.

По теме, могу пояснить следующее:
Модель угроз создается на основе инвентаризации активов, в разрезе рисков.
Т.е. Каждый актив оценивается, какой угрозе он может быть подвержен, это и есть риск.
Затем те риски менее значимые (или не актуальны) в разрезе причиненного ущерба, просто можно упустить.
Вот и в итоге в модель угроз попадут те события, которые наиболее существенны при их возникновении.
Т.е. те события которые указаны в базовой модели угроз они так сказать обязательно должны присутствовать, но Вам не кто не запрещает, дополнить эту модель угроз, если Вы посчитаете, что есть еще события, при возникновении которых, может нанести ущерб бизнес-процессам Вашей организации.
я так понял они есть в "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. ", но они отменены вроде как уже 15 марта 2010 года....как быть?
Цитата
Константин пишет:
я так понял они есть в "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. ", но они отменены вроде как уже 15 марта 2010 года....как быть?
Его заменяет Приказ ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
DOC (142.50 Kb), HTML
Но в нём уже не сказано про эти угрозы...
БЕСПЛАТНЫЙ СЕМИНАР!
Защита персональных данных и безопасность информационных систем. Закон 152 ФЗ – последние изменения
Дата: 30 ноября Время: 9:30–14:00 В городе: Москва

Компания «7000» - НОВЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ ИНФОРМАЦИИ совместно с ЗАО «Аладдин Р.Д.» приглашает на Бесплатный семинар: «Защита персональных данных и безопасность информационных систем. Закон 152 ФЗ – последние изменения.

В программе семинара будут рассмотрены вопросы по приведению информационных систем предприятия в соответствие с требованиями Российского законодательства в части соответствия требованиям ФЗ-152 «О персональных данных».

Всем участникам будет предоставлена возможность пообщаться с экспертами отрасли, встретиться со своими коллегами, обменяться новыми идеями и предложениями.

Семинар адресован: IT-директорам, IT-специалистам, системным администраторам.

Предварительная регистрация обязательна.Зарегистрироваться можно по телефону:
(495) 748-02-22 или e-mail: anarodickaya@7000.ru

РЕГИСТРАЦИЯ
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)