Авторы: 
Серёдкин Сергей Петрович
Дата поступления: 
28.02.2022
Рубрика: 
4. Программные и технические проблемы информационной безопасности
Год: 
2022
Номер журнала (Том): 
1(13) 2022
УДК: 
004.056/053
DOI: 

10.26731/2658-3704.2022.1(13).43-54 

Файл статьи: 
Иконка PDF scientific_approaches.pdf
Страницы: 
43
54
Аннотация: 

В предлагаемой статье описан механизм моделирования угроз безопасности информации на основе данных банка угроз ФСТЭК. Описывается механизм реализации требований по моделированию угроз безопасности информации, на основе Новой методики, принятой ФСТЭК 05.02.2021. Предложен подход к построению модели угроз безопасности информации, учитывающей современные требования регуляторов, которые базируются на БДУ ФСТЭК. Подчеркнута важная роль использования данных базы угроз ФСТЭК для построения актуальной модели угроз с применением техник и тактик потенциального нарушителя. Акцентировано особое внимание на обязательном применении данной методики при моделировании актуальных угроз безопасности информации в государственных информационных системах, значимых объектах критической информационной инфраструктуры, информационных системах оборонно-промышленного комплекса, а также в информационных системах персональных данных.  Проанализированы современные подходы и возможности интернет ресурсов для поиска угроз и анализа уязвимостей актуальных в настоящее время их преимущества и недостатки. Даны практические рекомендации для применения интернет ресурса ФСТЭК студентами высших учебных заведений и специалистами по защите информации учреждений и организаций при моделировании угроз безопасности информации.

Ключевые слова: 
Угрозы информационной безопасности
уязвимости информационных систем
Федеральная служба по техническому и экспортному контролю (ФСТЭК)
банк данных угроз (БДУ)
информационная безопасность (ИБ)
потенциальный нарушитель
модель угроз безопасности информации
негативные последствия
модель нарушителя
государственные информационные системы (ГИС)
Список цитируемой литературы: 
  1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Методика оценки угроз безопасности: методический документ / сост. ФСТЭК России. – Москва, 2021. – 83 с.
  3. Positive Technologies. Вебсайт. Москва, 2002. Режим доступа: https://www.ptsecurity.
  4. Информационно-аналитический журнал «RUБЕЖ» [Электронный ресурс]. – Москва. – 2013 г. – Режим доступа : htps://ru-bezh.ru.
  5. Ландшафт угроз для систем промышленной автоматизации. Kapersky ICS CERT. [Электронный ресурс]: – Режим доступа:  htts://icscert.kaspersky.ru/media/H1_2019_kaspersky_ICS_REPORT_RUS.
  6. Закон РФ от 27.07.2006 г. №152-ФЗ «О персональных данных».
  7. Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  8.  Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  9.  Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  10. «Приоритетные направления развития науки, технологий и техники в Российской Федерации и перечень критических технологий Российской Федерации». Утверждены Указом Президента Российской Федерации от 7 июля 2011 года № 899.
  11. Постановление Правительства Российской Федерации от 24 октября 2011 г. №861 «О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг».
  12. https://attack.mitre.org/matrices/enterprise/
  13. https://mitre-attack.github.io/attack-navigator/
  14. https://apt.securelist.com
  15. https://fstec.ru/