ARinteg.ru
  • Москва
  • Санкт-Петербург
  • Екатеринбург
  • Ереван
  • +7 (495) 221 21 41
  • +7 (812) 407 34 71
  • +7 (343) 247 83 68
  • +374 (60) 28 00 03
facebook home mail site-map

Модели угроз информационной безопасности

Модели угроз информационной безопасности

Модель угроз информационной безопасности – это описание существующих угроз ИБ, их актуальности, возможности реализации и последствий.

Стандарт СТО БР ИББС – 1.0-2010 определяет модель угроз информационной безопасности следующим образом: это «описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба».

Адекватные модели угроз информационной безопасности позволяют выявить существующие угрозы, разработать эффективные контрмеры, повысив тем самым уровень ИБ, и оптимизировать затраты на защиту (сфокусировав её на актуальных угрозах).

ar12.jpg

В модели должны учитываться все актуальные угрозы на всех стадиях их жизненного цикла

У различных информационных систем, а также объектов одной информационной системы может быть разный спектр угроз, определяемый особенностями конкретной информационной системы и её объектов и характером возможных действий источника угрозы.

Процедура построения модели угроз информационной безопасности состоит из нескольких последовательных шагов:

  1. Определение источников угроз.
  2. Выявление критических объектов информационной системы.
  3. Определение перечня угроз для каждого критического объекта.
  4. Выявление способов реализации угроз.
  5. Оценка материального ущерба и других последствий возможной реализации угроз.

Модели угроз составляются на основе постоянно меняющихся данных и поэтому должны регулярно пересматриваться и обновляться.

При построении данных моделей специалисты ARinteg используют каталоги и перечни угроз, содержащиеся в официальных стандартах информационной безопасности и методических документах ФСТЭК и ФСБ России, а также списки угроз, выявленных при проведении аудита информационной системы заказчика.


Перейти к списку статей
ARinteg.ru
© Все права защищены 2003-2017 г.
ООО "АРинтег"
Политика обработки персональных данных
qrcode
pci
abiss
НП "АБИСС"
facebook