logo
 

Разработка модели угроз и нарушителя для финансовых организаций



В данной статье рассмотрим особенности и требования регуляторов к модели угроз и нарушителя финансовых организаций, а также о ее практической значимости.

Что такое модель угроз и нарушителя (МУиН)

Модель угроз и нарушителя (МУиН) нужна для проведения анализа информационных систем на предмет возможных угроз, которые могут быть использованы для получения несанкционированного доступа к информации.

Нормативно-правовые акты в сфере ИБ устанавливающие требования к наличию МУиН

В сфере информационной безопасности (ИБ) ряд нормативно-правовых актов устанавливают требования к финансовым организациям по наличию МУиН.

К числу указанных актов относят, в частности:

  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», предъявляет требования к организациям по обеспечению безопасности персональных данных. Одним из мероприятий, направленных на обеспечение безопасности, является разработка и применение МУиН.
  • Постановление Правительства РФ от 01 ноября 2012 года № 1119 «Об утверждении требований к защите конфиденциальной информации при ее обработке в информационных системах персональных данных», которое устанавливает обязательные требования к финансовым организациям по обеспечению безопасности конфиденциальной информации при ее обработке в информационных системах персональных данных. В числе указанных требований — наличие МУиН.
  • Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 29.12.2022) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.03.2023).

Финансовым организациям необходимо обеспечивать наличие МУиН в своей документации в соответствии с требованиями указанных нормативных актов, с целью обеспечения безопасности персональных данных и конфиденциальной информации при ее обработке в информационных системах.

Методика разработки МУиН

Методика разработки проводится в соответствии с регламентом ФСТЭК России от 5 февраля 2021 года № 149, и предусматривает выполнение следующих шагов:

  1. Анализ потенциальных угроз и нарушителей информационной безопасности в информационных системах организации.
  2. Оценка вероятности возникновения угрозы и определение уровня ее воздействия на информационную систему.
  3. Оценка уязвимостей информационной системы и определение возможных путей атаки.
  4. Определение необходимых мер защиты и контроля, направленных на устранение уязвимостей и предотвращение угроз.
  5. Оценка эффективности принятых мер по защите информационной системы.

Кроме того, регламент устанавливает требования к документированию и отчетности. Ниже приведены рекомендации, на основании которых базируется методика разработки:

  • «Разработка модели угроз и нарушителей должна проводиться на основе анализа возможных угроз и нарушений безопасности информации, а также на основе учета специфики функционирования информационной системы и объектов информационных технологий, на которых она базируется».
  • «Разработка модели угроз и нарушителей должна осуществляться в соответствии с установленными в настоящем регламенте требованиями и включать следующие этапы: анализ угроз и нарушителей, оценку рисков, разработку мер по обеспечению защищенности информации, контроль их реализации и эффективности».
  • «В процессе анализа угроз и нарушителей должны быть определены потенциальные направления угроз и нарушений безопасности информации, а также вероятность их возникновения».
  • «В процессе оценки рисков должны быть определены вероятность возникновения угроз и нарушений безопасности информации, а также их воздействие на информационную систему организации».
  • «При разработке мер по обеспечению защищенности информации необходимо учитывать выявленные в процессе анализа угроз и нарушителей риски, а также возможные пути их реализации».
  • «Контроль реализации мер по обеспечению защищенности информации должен проводиться на основе периодических аудитов, результаты которых должны документироваться и использоваться для улучшения системы обеспечения защищенности информации».

Следование установленным регламентом требованиям однозначно повышает защищенность информации в информационных системах финансовых организаций и снижает риски возникновения угроз и нарушений безопасности информации.
Содержание документа и специфика для финансовых организаций

Содержание МУиН для финансовых организаций включает в себя следующие разделы:

  • Введение. Объясняет цели и задачи МУиН, а также описывает его область применения.
  • Описание защищаемой системы. Содержит перечисление компонентов системы, которые могут быть подвержены угрозам и нарушениям информационной безопасности.
  • Идентификация угроз. Позволяет рассмотреть потенциальные угрозы , способы их реализации их возможные последствия.
  • Идентификация нарушителей. Рассматривает типы злоумышленников, которые представляют угрозу системе, а также выявляет их мотивацию и возможности.
  • Оценка рисков.Определения актуальных угроз. Показывает вероятность реализации угроз и их последствий, а также определяет меры по нейтрализации актуальных угроз.
  • Рекомендации по защите системы. Раздел содержит практические советы по улучшению защиты системы и снижению рисков.

Специфика требований к методике разработки МУиН для финансовых организаций заключается в том, что данная категория имеет особую ответственность за обеспечение защиты информации, которая обрабатывается в их информационном поле.
Реальная ценность для компании от данного документа

Наличие модели угроз и нарушителей является обязательным требованием в сфере информационной безопасности для финансовых организаций. Так же МУиН является фундаметом для построений информационной безопасности организации

Разработка и поддержание в актуальном состоянии МУиН улучшит уровень защищенности информации и снизит риски ее утечки или кражи. Это, в свою очередь, поможет соблюсти законодательство в области защиты информации и улучшит репутацию организации в глазах клиентов и партнеров.

Если у вас остались вопросы, предлагаем заполнить форму обратной связи или связаться с нами по телефону, чтобы получить консультацию. Наш эксперт свяжется с вами и поможет разработать оптимальное решение для обеспечения информационной безопасности вашей компании.
Другие материалы