БАзовая модель угроз ФСТЭК
Подборка наиболее важных документов по запросу БАзовая модель угроз ФСТЭК (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Пространственная характеристика объектов налогообложения: в поисках пределов
(Савицкий А.И.)
("Налоги" (журнал), 2023, NN 3, 4)<23> Термин "технические средства" в Федеральном законе от 27 июля 2006 г. N 149-ФЗ не раскрывается. В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 15.02.2008) технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации. Согласно пункту 3.3 ГОСТ Р ИСО/МЭК 9126-93 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению" (утв. Постановлением Госстандарта РФ от 28.12.1993 N 267) программно-аппаратные средства (firmware) - технические средства, содержащие компьютерную программу и данные, которые не могут изменяться средствами пользователя. Компьютерная программа и данные, входящие в программно-аппаратные средства, классифицируются как программное обеспечение; схемы, содержащие компьютерную программу и данные, классифицируются как технические средства.
(Савицкий А.И.)
("Налоги" (журнал), 2023, NN 3, 4)<23> Термин "технические средства" в Федеральном законе от 27 июля 2006 г. N 149-ФЗ не раскрывается. В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 15.02.2008) технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации. Согласно пункту 3.3 ГОСТ Р ИСО/МЭК 9126-93 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению" (утв. Постановлением Госстандарта РФ от 28.12.1993 N 267) программно-аппаратные средства (firmware) - технические средства, содержащие компьютерную программу и данные, которые не могут изменяться средствами пользователя. Компьютерная программа и данные, входящие в программно-аппаратные средства, классифицируются как программное обеспечение; схемы, содержащие компьютерную программу и данные, классифицируются как технические средства.
Статья: Правовое регулирование отношений в области предотвращения возможных уязвимостей в информационных технологиях
(Жарова А.К.)
("Безопасность бизнеса", 2022, N 1)В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной Федеральной службой по техническому и экспортному контролю (ФСТЭК) РФ 15 февраля 2008 г., под уязвимостью понимается "некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации" <10>. В соответствии с Национальным стандартом Российской Федерации под уязвимостью понимаются "недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование" <11>. Анализ данных нормативных актов позволяет сделать вывод, что декларация и открытие производителями информации об уязвимостях в ИТ позволит обеспечить информационную безопасность.
(Жарова А.К.)
("Безопасность бизнеса", 2022, N 1)В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной Федеральной службой по техническому и экспортному контролю (ФСТЭК) РФ 15 февраля 2008 г., под уязвимостью понимается "некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации" <10>. В соответствии с Национальным стандартом Российской Федерации под уязвимостью понимаются "недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование" <11>. Анализ данных нормативных актов позволяет сделать вывод, что декларация и открытие производителями информации об уязвимостях в ИТ позволит обеспечить информационную безопасность.
Нормативные акты
"Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, функционирующим в сфере связи"
(утв. ФСБ России, ФСТЭК России)
(вместе с "Рекомендациями по заполнению содержательной части формы направления сведений о результатах категорирования для типовых объектов критической информационной инфраструктуры, принадлежащих операторам связи")27. Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утв. приказом ФСТЭК России от 22.12.2017 N 236.
(утв. ФСБ России, ФСТЭК России)
(вместе с "Рекомендациями по заполнению содержательной части формы направления сведений о результатах категорирования для типовых объектов критической информационной инфраструктуры, принадлежащих операторам связи")27. Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утв. приказом ФСТЭК России от 22.12.2017 N 236.
<Письмо> Минэнерго России от 11.12.2024 N СЦ-21040/07
"О внесении изменений в базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности)"- "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры", утвержденная Заместителем директора ФСТЭК России 18.05.2007;
"О внесении изменений в базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности)"- "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры", утвержденная Заместителем директора ФСТЭК России 18.05.2007;
Статья: Подача документов по делам об административных правонарушениях
(Опарина С.)
("Госконтроль: проверки, нарушения, ответственность", 2025, N 2)Пунктом 3 Положения определено, что технические средства, используемые для подготовки и отправки электронных документов, должны быть защищены в соответствии с требованиями ФСБ и ФСТЭК. Эти требования касаются защиты информации в государственных информационных системах. Применяемые средства защиты должны обеспечивать безопасность персональных данных и другой информации от угроз, указанных в модели угроз безопасности информации <1>. Все средства защиты должны пройти процедуру оценки соответствия законодательству в области информационной безопасности.
(Опарина С.)
("Госконтроль: проверки, нарушения, ответственность", 2025, N 2)Пунктом 3 Положения определено, что технические средства, используемые для подготовки и отправки электронных документов, должны быть защищены в соответствии с требованиями ФСБ и ФСТЭК. Эти требования касаются защиты информации в государственных информационных системах. Применяемые средства защиты должны обеспечивать безопасность персональных данных и другой информации от угроз, указанных в модели угроз безопасности информации <1>. Все средства защиты должны пройти процедуру оценки соответствия законодательству в области информационной безопасности.
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)- "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденная ФСТЭК России 15 февраля 2008 г.
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)- "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденная ФСТЭК России 15 февраля 2008 г.