Моделирование угроз для объектов ФНС России проводится исходя из требований регуляторов, предъявляемых к автоматизированной системе ФНС России, как системе, причисляемой к:
- критическим информационным инфраструктурам (КИИ);
- Государственным информационным системам (ГИС);
- системам, обрабатывающим персональные данные (ПДн);
- крупным телекоммуникационным системам, для защиты каналов которых используются криптографические средства защиты;
- системам, входящим в СМЭВ и МЭДО.
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
В рамках данного сегмента СУИБ проводится оценка возможных рисков при реализации той или иной угрозы ИБ, выявляются наиболее критичные с точки зрения ИБ узлы системы.
Основными функциями управления угрозами и рисками являются:
- разработка и сопровождение перечней потенциальных угроз и возможностей нарушителей ИБ, с учетом требований ИБ КИИ, ГИС, ПДн, телекоммуникационным системам, СМЭВ, МЭДО и защиты сайтов;
- анализ и использование в процессах моделирования методологий регуляторов (ФСБ России и ФСТЭК России) по указанным направлениям;
- формирование пороговых значений рисков при реализации возможных угроз ИБ;
- определение уровня необходимой защиты объектов с учетом возможных рисков;
- доведение и разъяснение положений моделей угроз и нарушителей и уровней необходимой защиты до подразделений ФНС России и приданных подразделений.
Результатами работ данного сегмента СУИБ являются актуальные модели угроз и нарушителей ИБ в каждый момент времени и рассчитанные уровни ИБ с учетом рисков.
Автоматизированная поддержка данного сегмента СУИБ включает:
- формирование справочника угроз ИБ с возможностью актуализации;
- формирование справочника уязвимостей ИБ с возможностью актуализации;
- формирование информационных карт рисков (ИКР):
- установление пороговых значений для атрибутов, влияющих на определение величины рисков (предусматривается несколько градаций);
- предложение способов обработки рисков;
- формирование перечня защитных мер;
- вывод информационных панелей для уведомления:
- о количестве рисков для систем с разными уровнями;
- о необходимости переоценки рисков;
- о новых угрозах и возможностях потенциальных нарушителей;
- о результатах моделирования "риск-противодействие-оценка целесообразности".
По данному направлению в филиалах ЦУБИ выполняются следующие работы:
- анализ возможно имеющихся "специфичных" для конкретного объекта угроз;
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей