15 февраля 2021 года на сайте ФСТЭК России был опубликован Методический документ «Методика оценки угроз безопасности информации».
Документ устанавливает порядок и содержание работ по определению и разработке моделей угроз безопасности информации на следующих объектах:
• информационные системы,
• автоматизированные системы управления,
• информационно-телекоммуникационные сети,
• информационно-телекоммуникационные инфраструктуры ЦОД,
• облачные инфраструктуры.
Область применения Методики:
• государственные и муниципальные информационные системы,
• информационные системы персональных данных,
• значимые объекты КИИ,
• информационные системы управления производством организаций оборонно-промышленного комплекса,
• АСУ ТП на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Более неприменимы действовавшие ранее, более узкопрофильные стандарты для систем и сетей:
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.)
• Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
Как следует из общих положений документа, Методика может являться основой для разработки отраслевых (ведомственных, корпоративных) методик оценки угроз безопасности информации, учитывающих особенности функционирования систем и сетей в соответствующей области деятельности. При этом какие-либо противоречия разрабатываемых отраслевых методик Методике ФСТЭК недопустимы.
Появление новой Методики не означает, что модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения настоящей Методики, устарели. Наоборот, они продолжают действовать. Изменения в них вносятся на плановой основе при очередном мероприятии по пересмотру Модели угроз безопасности информации или при развитии (модернизации) соответствующих систем и сетей.
Использование Методического документа обязательно лишь в случае, если решение о создании или модернизации (развитии) систем и сетей принято после даты утверждения.
