Receipt date: 
28.02.2022
Year: 
2022
Journal number: 
УДК: 
004.056/053
DOI: 

10.26731/2658-3704.2022.1(13).43-54 

Article File: 
Pages: 
43
54
Abstract: 

В предлагаемой статье описан механизм моделирования угроз безопасности информации на основе данных банка угроз ФСТЭК. Описывается механизм реализации требований по моделированию угроз безопасности информации, на основе Новой методики, принятой ФСТЭК 05.02.2021. Предложен подход к построению модели угроз безопасности информации, учитывающей современные требования регуляторов, которые базируются на БДУ ФСТЭК. Подчеркнута важная роль использования данных базы угроз ФСТЭК для построения актуальной модели угроз с применением техник и тактик потенциального нарушителя. Акцентировано особое внимание на обязательном применении данной методики при моделировании актуальных угроз безопасности информации в государственных информационных системах, значимых объектах критической информационной инфраструктуры, информационных системах оборонно-промышленного комплекса, а также в информационных системах персональных данных.  Проанализированы современные подходы и возможности интернет ресурсов для поиска угроз и анализа уязвимостей актуальных в настоящее время их преимущества и недостатки. Даны практические рекомендации для применения интернет ресурса ФСТЭК студентами высших учебных заведений и специалистами по защите информации учреждений и организаций при моделировании угроз безопасности информации.

List of references: 
  1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Методика оценки угроз безопасности: методический документ / сост. ФСТЭК России. – Москва, 2021. – 83 с.
  3. Positive Technologies. Вебсайт. Москва, 2002. Режим доступа: https://www.ptsecurity.
  4. Информационно-аналитический журнал «RUБЕЖ» [Электронный ресурс]. – Москва. – 2013 г. – Режим доступа : htps://ru-bezh.ru.
  5. Ландшафт угроз для систем промышленной автоматизации. Kapersky ICS CERT. [Электронный ресурс]: – Режим доступа:  htts://icscert.kaspersky.ru/media/H1_2019_kaspersky_ICS_REPORT_RUS.
  6. Закон РФ от 27.07.2006 г. №152-ФЗ «О персональных данных».
  7. Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  8.  Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  9.  Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  10. «Приоритетные направления развития науки, технологий и техники в Российской Федерации и перечень критических технологий Российской Федерации». Утверждены Указом Президента Российской Федерации от 7 июля 2011 года № 899.
  11. Постановление Правительства Российской Федерации от 24 октября 2011 г. №861 «О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг».
  12. https://attack.mitre.org/matrices/enterprise/
  13. https://mitre-attack.github.io/attack-navigator/
  14. https://apt.securelist.com
  15. https://fstec.ru/