Процесс моделирования угроз информационной безопасности

см. Модели ИБ в деятельности по мониторингу и реагированию

Модель угроз информационной безопасности; модель угроз ИБ: Описание актуальных для организации БС РФ источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба. («Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014))

см. Обзор стандартов моделирования угроз, разработка модели угроз, текущий подход, видео Методика разработки частной модели угроз для информационной системы персональных данных, видео Моделирование угроз ИБ. Как подойти к задаче?

ФСТЭК РФ предпринимает много усилий для разработки методики моделирования угроз.

Представители ФСТЭК РФ отметили ряд недостатков текущего подхода к построению модели угроз (текущие документы для создания модели угроз датированы 2008 годом, пример):
— моделирование угроз разрабатывается только для согласования, а далее никак не используется (см. Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных);
— при моделировании угроз не учитываются сценарии действий нарушителей;
— системы защиты информации строятся без учета модели угроз;
— не проводится оценка эффективности системы защиты.

С проектом методики моделирования угроз (на пороге принятия) можно ознакомиться на сайте ФСТЭК РФ, в видео или статье, Простыми словами о новом проекте методики моделирования угроз безопасности информации ФСТЭК.

Критика новой методики тут, тут, тут. Небольшой обзор часть 1, часть 2, часть 3.