Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить коммерческое предложение
Оставьте ваши данные, и мы с вами свяжемся!
Получить коммерческое предложение
Оставьте ваши данные, и мы с вами свяжемся!
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Моделирование угроз безопасности персональных данных при их обработке в ИСПДн
Выявим потенциальные объекты воздействия и слабые места в вашей IT-инфраструктуре до того, как ими воспользуются нарушители.
- Закройте юридические риски по 152-ФЗ
- Оптимизируйте ИТ-бюджет
- Внедрите надежную защиту, реализующую меры безопасности, необходимые вашему бизнесу
Более 320 проектов
реализовано
реализовано
Более 250 инженеров
в команде
в команде
Более 15 лет
на рынке ИБ
на рынке ИБ
Что такое моделирование угроз безопасности персональных данных в ИСПДн?
Моделирование угроз безопасности персональных данных — это структурированный анализ потенциальных угроз и уязвимостей информационной системы персональных данных (ИСПДн) с целью определения актуальных рисков и выбора адекватных мер защиты. Процедура проводится в соответствии с требованиями 152-ФЗ, методикой ФСТЭК России и приказом №21.
Кому необходим аудит по 152-ФЗ
Операторам
Персональных данных, обязанным обеспечить защиту ИСПДн
Персональных данных, обязанным обеспечить защиту ИСПДн
Организациям
готовящимся к аттестации или проверке регулятора
готовящимся к аттестации или проверке регулятора
Компаниям
проектирующим или модернизирующим информационные системы
проектирующим или модернизирующим информационные системы
Методология работы
Методология моделирования угроз базируется на актуальной методике ФСТЭК России и включает пять последовательных шагов:
- Определение характеристик ИСПДнСбор исходных данных о системе: архитектура (облако, локальная сеть), состав технических средств, виды обрабатываемых данных, количество пользователей и наличие подключений к сетям общего пользования (интернет).
- Идентификация объектов воздействияОпределение того, что именно нужно защищать: серверы баз данных, рабочие станции сотрудников, каналы связи, системное и прикладное программное обеспечение.
- Инвентаризация актуальных угрозНа основе «Банка данных угроз» (БДУ ФСТЭК России) и специфики бизнеса составляется список потенциальных опасностей: от внешних хакерских атак и внедрения вирусов до непреднамеренных ошибок сотрудников или кражи физических носителей.
- Оценка возможности реализации угрозАнализ каждой угрозы по двум параметрам:
- Вероятность: насколько легко злоумышленнику реализовать данную угрозу в текущих условиях.
- Опасность (последствия): какой ущерб понесет компания и субъекты данных в случае успеха атаки.
- Формирование Модели угроз (Итоговый документ)Составление перечня актуальных угроз, от которых система обязана быть защищена. Этот документ становится юридическим и техническим обоснованием для выбора конкретных средств защиты (антивирусов, межсетевых экранов, систем шифрования и т.п.).
Бесплатная консультация
У Вас остались вопросы?
Оставьте заявку и мы свяжемся с вами в ближайшее время.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Команда
Образование
2007-2012 — ФГБОУ ВПО «Российский государственный гуманитарный университет», г. Москва.
Организация и технология защиты информации, специалист по защите информации
Опыт в сфере ИБ
Компетенции
2007-2012 — ФГБОУ ВПО «Российский государственный гуманитарный университет», г. Москва.
Организация и технология защиты информации, специалист по защите информации
Опыт в сфере ИБ
- Профессиональный опыт в области ИБ с 2010 года
Компетенции
- Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239, 250 Указ Президента РФ и т.д.)
- Комплексные аудиты ИБ
- Разработка документации (МУ, ТЗ, ОРД) по приведению СОИБ в соответствие требованиям законодательства
- Проведение аттестаций объектов информатизации
- 2019 — Академия Softline, курс «Обеспечение безопасности значимых объектов КИИ и АСУ ТП»
- 2018 — Академия информационных систем, курс «Практические аспекты защиты АСУ ТП и промышленных сетей», повышение квалификации
- 2011 — Информзащита, курс «Расследование компьютерных инцидентов»
- Участие в комплексных аудитах ИБ для крупных заказчиков из сферы логистики, ретейла, медицины, ТЭК, финансов, энергетики
- Разработка стратегии ИБ для крупной компании из сферы ретейл
- Обследование и категорирование объектов критической информационной инфраструктуры для холдинга из энергетической отрасли
- Аудиты по требованиям безопасности ПДн и КИИ для компаний малого, среднего и крупного бизнеса
- Аттестация ЦОД органов исполнительной власти
Анатолий Сазонов
Профессиональный опыт в области ИБ с 2010 года
Профессиональный опыт в области ИБ с 2010 года
Опыт в сфере ИБ
Компетенции
Образование
2015-2022 — Томский государственный университет систем управления и радиоэлектроники. Факультет Безопасности. Специалист по защите информации.
Значимые проекты
- Профессиональный опыт в области ИБ с 2020 года
Компетенции
- Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239, 250 Указ Президента РФ и т.д.), а также проведение контроля компаний Группы Сбер на соответствие требованиям законодательства в области персональных данных
- Оценка обеспечения ИБ в соответствии с лучшими мировыми практиками и стандартами
- Разработка документации (МУ, ТЗ, ОРД) по приведению СОИБ в соответствие требованиям законодательства
Образование
2015-2022 — Томский государственный университет систем управления и радиоэлектроники. Факультет Безопасности. Специалист по защите информации.
Значимые проекты
- Приведение порядка обработки персональных данных в соответствие требованиям законодательства для универсальной страховой компании
- Комплексный аудит ИБ на крупном нефтеперерабатывающем заводе
- Обследование и категорирование объектов критической информационной инфраструктуры значимого оператора связи
- Оценка процессов обеспечения ИБ и подготовка дорожных карт развития ИБ как для малого, так и крупного бизнеса
Максим Загреба
Профессиональный опыт в области ИБ с 2020 года
Профессиональный опыт в области ИБ с 2020 года
Анатолий Сазонов
Профессиональный опыт в области ИБ с 2010 года
Профессиональный опыт в области ИБ с 2010 года
Компетенции
- Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239, 250 Указ Президента РФ и т.д.)
- Комплексные аудиты ИБ
- Разработка документации (МУ, ТЗ, ОРД) по приведению СОИБ в соответствие требованиям законодательства
- Проведение аттестаций объектов информатизации
Максим Загреба
Профессиональный опыт в области ИБ с 2020 года
Профессиональный опыт в области ИБ с 2020 года
Компетенции
- Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239, 250 Указ Президента РФ и т.д.), а также проведение контроля компаний Группы Сбер на соответствие требованиям законодательства в области персональных данных
- Оценка обеспечения ИБ в соответствии с лучшими мировыми практиками и стандартами
- Разработка документации (МУ, ТЗ, ОРД) по приведению СОИБ в соответствие требованиям законодательства
Почему нам можно доверять
Сертификаты Infosecurity
FAQ
Моделирование угроз — это процесс выявления, анализа и документирования всех возможных угроз, уязвимостей и рисков, связанных с обработкой персональных данных в информационной системе персональных данных (ИСПДн). Результатом является формализованный документ — «Модель угроз», который служит основой для построения системы защиты.
Да. Согласно Постановлению Правительства №1119 и приказам ФСТЭК России, определение актуальных угроз — это обязательный первый этап построения системы защиты. Его отсутствие — прямое нарушение 152-ФЗ.
Моделирование может проводить как сама организация (при наличии квалифицированных специалистов), так и привлечённая экспертная компания, имеющая лицензию ФСТЭК России.
Для качественного моделирования потребуются:
- Описание архитектуры ИСПДн (схемы сети, перечень серверов и ПО).
- Перечень обрабатываемых персональных данных.
- Список лиц, имеющих доступ к системе.
- Существующие организационно-распорядительные документы (приказы, инструкции).
В состав документа обычно входят:
- Описание ИСПДн и её границ.
- Перечень информационных активов (что защищаем).
- Возможные негативные последствия от реализации угроз.
- Источники угроз безопасности информации и результаты оценки возможностей нарушителя.
- Возможные цели реализации угроз безопасности информации нарушителями.
- Актуальные нарушители и соответствующие им возможности.
- Тактики и техники атак на ИСПДн.
- Перечень актуальных угроз безопасности (с указанием источников и способов реализации).
Документ необходимо пересматривать при любых значимых изменениях: переезд сервера в облако, смена ключевого ПО, появление новых филиалов или при выходе новых требований законодательства.
Да. Грамотное моделирование позволяет отсечь неактуальные угрозы и не тратить бюджет на закупку дорогостоящих средств защиты, которые вам не нужны.
Роскомнадзор или ФСТЭК России выпишут предписание об устранении нарушения, а в случае инцидента (утечки данных) отсутствие модели станет отягчающим обстоятельством, ведущим к максимальным штрафам и судебным искам.