О компании
Команда
Наши клиенты
Отзывы
Контакты

Услуги для операторов персональных данных

info@fedresurs24.ru

Регистрация и уведомления
Документы по ФЗ-152
Аудит
Требования РКН
Защита данных, КИИ
Сопровождение бизнеса

Разработка модели угроз информационной безопасности

Корректное определение актуальных угроз

Выявляем реальные угрозы для конкретной информационной системы, а не формальный перечень «для отчёта».

Соответствие требованиям регуляторов

Модель угроз разрабатывается с учётом методик и требований ФСТЭК России.

Основа для дальнейшей защиты

Модель угроз становится базой для выбора СЗИ, проектирования защиты и аттестации.

Снижение рисков проверок и инцидентов

Грамотно разработанная модель угроз снижает вероятность предписаний и инцидентов ИБ.

Отзывы наших клиентов

Защита бизнеса 24 на карте Москвы — Яндекс Карты

Официальные благодарственные письма от наших клиентов

Наша команда

Татьяна Цыхманова

Руководитель отдела публикаций сообщений

Лидия Чернявская

Партнер и корпоративный юрист

Стефания Карпеева

Юрист по персональным данным

Анна Чудинова

Руководитель отдела по работе с клиентами

Марина Дадашева

Ведущий специалист по работе с клиентами

Разработка модели угроз: вопросы и ответы

Что такое модель угроз информационной безопасности?

Модель угроз — это документ, в котором определяются возможные источники угроз, способы реализации атак, уязвимости системы и потенциальные последствия для информации и бизнес-процессов. Она описывает, от чего именно и каким образом должна защищаться система.

Для каких систем требуется разработка модели угроз?

Модель угроз необходима при защите:

информационных систем персональных данных (ИСПДн);
объектов критической информационной инфраструктуры (КИИ);
государственных и корпоративных ИТ-систем;
автоматизированных систем управления;
систем, подлежащих аттестации или проверкам регуляторов.

Без модели угроз невозможно корректно выстроить систему защиты.

Когда разработка модели угроз обязательна?

Разработка модели угроз требуется при:

создании или модернизации ИТ-системы;
внедрении средств защиты информации;
подготовке к аттестации;
выполнении требований ФСТЭК;
категорировании объектов КИИ;
проверках информационной безопасности.

Отсутствие модели угроз часто квалифицируется как нарушение требований ИБ.

Что включает в себя модель угроз?

Как правило, модель угроз содержит:

описание объекта защиты и его архитектуры;
перечень возможных источников угроз;
описание актуальных угроз и сценариев атак;
анализ уязвимостей;
оценку возможного ущерба;
выводы о необходимых мерах защиты.

Документ должен быть адаптирован под конкретную систему, а не шаблонным.

Какие риски при отсутствии или формальной модели угроз?

Если модель угроз отсутствует или выполнена формально, возможны:

предписания регуляторов;
отказ в аттестации;
необходимость переделывать СЗИ;
увеличение затрат на ИБ;
рост вероятности инцидентов и утечек.

Формальный документ без анализа не защищает ни бизнес, ни ИТ-систему.

Можно ли разработать модель угроз самостоятельно?

Формально — да.
На практике возникают сложности из-за:

неправильного определения границ объекта защиты;
ошибок в идентификации угроз;
некорректного применения методик ФСТЭК;
отсутствия связи между угрозами и мерами защиты.

Ошибки выявляются при проверках или аттестации и приводят к доработкам.

Чем модель угроз отличается от технического задания и СЗИ?

Модель угроз отвечает на вопрос «от чего защищаемся»,
а СЗИ и технические меры — «как защищаемся».
Без модели угроз невозможно обосновать выбор конкретных средств защиты и их достаточность.

Как мы разрабатываем модель угроз?

Мы:

анализируем архитектуру и назначение системы;
определяем объект и границы защиты;
выявляем актуальные угрозы и уязвимости;
применяем методики ФСТЭК;
формируем обоснованную модель угроз;
увязываем модель с дальнейшими мерами защиты и аттестацией.

В результате вы получаете корректную, проверяемую и регуляторно-значимую модель угроз, которая реально работает, а не просто лежит в папке.

Блог
Договор-оферта
Политика обработки ПД
Согласие на обработку ПД
Согласие на получение рекламных материалов

ООО "Онлайн услуги 24"
ИНН 7751227590
ОГРН 1227700423730

Сайт roskom24.ru - коммерческий сервис, который предлагает услуги в подготовке документов и регистрации оператора ПД на сайте Роскомнадзора в соответствии с ФЗ 152 «О персональных данных». Данный сайт не является официальным порталом Роскомнадзора

Нужна консультация? Звоните или пишите

+7 800 511-69-74

+7 (938) 881-70-24

info@fedresurs24.ru

Контактная информация:
108801, Россия, г. Москва, п. Коммунарка, ул. Потаповская роща, д. 4, корп.3, пом. 56, офис 16
Заявки принимаются на сайте ежедневно и круглосуточно по всей России