Модель угроз фстэк
Подборка наиболее важных документов по запросу Модель угроз фстэк (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Пространственная характеристика объектов налогообложения: в поисках пределов
(Савицкий А.И.)
("Налоги" (журнал), 2023, NN 3, 4)<23> Термин "технические средства" в Федеральном законе от 27 июля 2006 г. N 149-ФЗ не раскрывается. В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 15.02.2008) технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации. Согласно пункту 3.3 ГОСТ Р ИСО/МЭК 9126-93 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению" (утв. Постановлением Госстандарта РФ от 28.12.1993 N 267) программно-аппаратные средства (firmware) - технические средства, содержащие компьютерную программу и данные, которые не могут изменяться средствами пользователя. Компьютерная программа и данные, входящие в программно-аппаратные средства, классифицируются как программное обеспечение; схемы, содержащие компьютерную программу и данные, классифицируются как технические средства.
(Савицкий А.И.)
("Налоги" (журнал), 2023, NN 3, 4)<23> Термин "технические средства" в Федеральном законе от 27 июля 2006 г. N 149-ФЗ не раскрывается. В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 15.02.2008) технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации. Согласно пункту 3.3 ГОСТ Р ИСО/МЭК 9126-93 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению" (утв. Постановлением Госстандарта РФ от 28.12.1993 N 267) программно-аппаратные средства (firmware) - технические средства, содержащие компьютерную программу и данные, которые не могут изменяться средствами пользователя. Компьютерная программа и данные, входящие в программно-аппаратные средства, классифицируются как программное обеспечение; схемы, содержащие компьютерную программу и данные, классифицируются как технические средства.
Статья: Правовое регулирование отношений в области предотвращения возможных уязвимостей в информационных технологиях
(Жарова А.К.)
("Безопасность бизнеса", 2022, N 1)В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной Федеральной службой по техническому и экспортному контролю (ФСТЭК) РФ 15 февраля 2008 г., под уязвимостью понимается "некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации" <10>. В соответствии с Национальным стандартом Российской Федерации под уязвимостью понимаются "недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование" <11>. Анализ данных нормативных актов позволяет сделать вывод, что декларация и открытие производителями информации об уязвимостях в ИТ позволит обеспечить информационную безопасность.
(Жарова А.К.)
("Безопасность бизнеса", 2022, N 1)В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной Федеральной службой по техническому и экспортному контролю (ФСТЭК) РФ 15 февраля 2008 г., под уязвимостью понимается "некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации" <10>. В соответствии с Национальным стандартом Российской Федерации под уязвимостью понимаются "недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование" <11>. Анализ данных нормативных актов позволяет сделать вывод, что декларация и открытие производителями информации об уязвимостях в ИТ позволит обеспечить информационную безопасность.
Нормативные акты
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)а) общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
(утв. ФСТЭК России 05.02.2021)а) общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
"Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)"
(утв. Минздрав России 05.04.2021)127. Выбор организационных и технических мер обеспечения безопасности значимых объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно на основе анализа и моделирования угроз безопасности и определения возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения). Подходы, которыми необходимо руководствоваться при моделировании угроз безопасности информации и требования к содержанию Модели угроз, определены ФСТЭК России <58>.
(утв. Минздрав России 05.04.2021)127. Выбор организационных и технических мер обеспечения безопасности значимых объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно на основе анализа и моделирования угроз безопасности и определения возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения). Подходы, которыми необходимо руководствоваться при моделировании угроз безопасности информации и требования к содержанию Модели угроз, определены ФСТЭК России <58>.