В данной статье рассмотрим особенности и требования регуляторов к модели угроз и нарушителя финансовых организаций, а также о ее практической значимости.
Что такое модель угроз и нарушителя (МУиН)
Модель угроз и нарушителя (МУиН) нужна для проведения анализа информационных систем на предмет возможных угроз, которые могут быть использованы для получения несанкционированного доступа к информации.
Нормативно-правовые акты в сфере ИБ устанавливающие требования к наличию МУиН
В сфере информационной безопасности (ИБ) ряд нормативно-правовых актов устанавливают требования к финансовым организациям по наличию МУиН.
К числу указанных актов относят, в частности:
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», предъявляет требования к организациям по обеспечению безопасности персональных данных. Одним из мероприятий, направленных на обеспечение безопасности, является разработка и применение МУиН.
- Постановление Правительства РФ от 01 ноября 2012 года № 1119 «Об утверждении требований к защите конфиденциальной информации при ее обработке в информационных системах персональных данных», которое устанавливает обязательные требования к финансовым организациям по обеспечению безопасности конфиденциальной информации при ее обработке в информационных системах персональных данных. В числе указанных требований — наличие МУиН.
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 29.12.2022) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.03.2023).
Финансовым организациям необходимо обеспечивать наличие МУиН в своей документации в соответствии с требованиями указанных нормативных актов, с целью обеспечения безопасности персональных данных и конфиденциальной информации при ее обработке в информационных системах.
Методика разработки МУиН
Методика разработки проводится в соответствии с регламентом ФСТЭК России от 5 февраля 2021 года № 149, и предусматривает выполнение следующих шагов:
- Анализ потенциальных угроз и нарушителей информационной безопасности в информационных системах организации.
- Оценка вероятности возникновения угрозы и определение уровня ее воздействия на информационную систему.
- Оценка уязвимостей информационной системы и определение возможных путей атаки.
- Определение необходимых мер защиты и контроля, направленных на устранение уязвимостей и предотвращение угроз.
- Оценка эффективности принятых мер по защите информационной системы.
Кроме того, регламент устанавливает требования к документированию и отчетности. Ниже приведены рекомендации, на основании которых базируется методика разработки:
- «Разработка модели угроз и нарушителей должна проводиться на основе анализа возможных угроз и нарушений безопасности информации, а также на основе учета специфики функционирования информационной системы и объектов информационных технологий, на которых она базируется».
- «Разработка модели угроз и нарушителей должна осуществляться в соответствии с установленными в настоящем регламенте требованиями и включать следующие этапы: анализ угроз и нарушителей, оценку рисков, разработку мер по обеспечению защищенности информации, контроль их реализации и эффективности».
- «В процессе анализа угроз и нарушителей должны быть определены потенциальные направления угроз и нарушений безопасности информации, а также вероятность их возникновения».
- «В процессе оценки рисков должны быть определены вероятность возникновения угроз и нарушений безопасности информации, а также их воздействие на информационную систему организации».
- «При разработке мер по обеспечению защищенности информации необходимо учитывать выявленные в процессе анализа угроз и нарушителей риски, а также возможные пути их реализации».
- «Контроль реализации мер по обеспечению защищенности информации должен проводиться на основе периодических аудитов, результаты которых должны документироваться и использоваться для улучшения системы обеспечения защищенности информации».
Следование установленным регламентом требованиям однозначно повышает защищенность информации в информационных системах финансовых организаций и снижает риски возникновения угроз и нарушений безопасности информации.
Содержание документа и специфика для финансовых организаций
Содержание МУиН для финансовых организаций включает в себя следующие разделы:
- Введение. Объясняет цели и задачи МУиН, а также описывает его область применения.
- Описание защищаемой системы. Содержит перечисление компонентов системы, которые могут быть подвержены угрозам и нарушениям информационной безопасности.
- Идентификация угроз. Позволяет рассмотреть потенциальные угрозы , способы их реализации их возможные последствия.
- Идентификация нарушителей. Рассматривает типы злоумышленников, которые представляют угрозу системе, а также выявляет их мотивацию и возможности.
- Оценка рисков.Определения актуальных угроз. Показывает вероятность реализации угроз и их последствий, а также определяет меры по нейтрализации актуальных угроз.
- Рекомендации по защите системы. Раздел содержит практические советы по улучшению защиты системы и снижению рисков.
Специфика требований к методике разработки МУиН для финансовых организаций заключается в том, что данная категория имеет особую ответственность за обеспечение защиты информации, которая обрабатывается в их информационном поле.
Реальная ценность для компании от данного документа
Наличие модели угроз и нарушителей является обязательным требованием в сфере информационной безопасности для финансовых организаций. Так же МУиН является фундаметом для построений информационной безопасности организации
Разработка и поддержание в актуальном состоянии МУиН улучшит уровень защищенности информации и снизит риски ее утечки или кражи. Это, в свою очередь, поможет соблюсти законодательство в области защиты информации и улучшит репутацию организации в глазах клиентов и партнеров.
Если у вас остались вопросы, предлагаем заполнить форму обратной связи или связаться с нами по телефону, чтобы получить консультацию. Наш эксперт свяжется с вами и поможет разработать оптимальное решение для обеспечения информационной безопасности вашей компании.
