МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы

В данной статье приведен пример модели угроз безопасности информации разработанной для автоматизированной системы (АС) не являющейся Информационной системой персональных данных (ИСПДн). В рассматриваемой Автоматизированной системе (АС) обрабатываются конфиденциальная информация (в числе защищаемых данных присутствуют, в том числе и персональные данные пользователей). При всем при этом, АС не классифицирована как ИСПДн. Для удобства ознакомления, материал разбит на главы, а каждая глава на отдельную запись.
Источником информации об угрозах используется «Банк данных угроз безопасности информации ФСТЭК России«. В качестве методики построения модели угроз применяется не утвержденный и не опубликованный проект документа ФСТЭК России ‘Методика определения угроз безопасности в информационных системах’ (2015), поэтому не рекомендуется использовать её пока она не утверждена.

Весь представленный материал имеет информативный характер, и может использоваться только для ознакомления с методикой построения модели угроз для АС не являющейся ИСПДн.

Документ имеет классическую иерархическую структуру, и состоит из 7 разделов:

1. Общие положения
2. Классификация угроз безопасности
3. Субъекты и объекты воздействия угроз безопасности
4. Модель нарушителей безопасности
5. Общая характеристика угроз безопасности 
6. Оценка потенциальных угроз безопасности в АС
7. Определение актуальных угроз безопасности информации в АС

Также в документе имеются следующие разделы:

Термины и определения, Перечень сокращений, нормативные ссылки, заключение и приложения.