Базовая модель угроз ФСТЭК
Подборка наиболее важных документов по запросу Базовая модель угроз ФСТЭК (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Пространственная характеристика объектов налогообложения: в поисках пределов
(Савицкий А.И.)
("Налоги" (журнал), 2023, NN 3, 4)<23> Термин "технические средства" в Федеральном законе от 27 июля 2006 г. N 149-ФЗ не раскрывается. В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 15.02.2008) технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации. Согласно пункту 3.3 ГОСТ Р ИСО/МЭК 9126-93 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению" (утв. Постановлением Госстандарта РФ от 28.12.1993 N 267) программно-аппаратные средства (firmware) - технические средства, содержащие компьютерную программу и данные, которые не могут изменяться средствами пользователя. Компьютерная программа и данные, входящие в программно-аппаратные средства, классифицируются как программное обеспечение; схемы, содержащие компьютерную программу и данные, классифицируются как технические средства.
(Савицкий А.И.)
("Налоги" (журнал), 2023, NN 3, 4)<23> Термин "технические средства" в Федеральном законе от 27 июля 2006 г. N 149-ФЗ не раскрывается. В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 15.02.2008) технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации. Согласно пункту 3.3 ГОСТ Р ИСО/МЭК 9126-93 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению" (утв. Постановлением Госстандарта РФ от 28.12.1993 N 267) программно-аппаратные средства (firmware) - технические средства, содержащие компьютерную программу и данные, которые не могут изменяться средствами пользователя. Компьютерная программа и данные, входящие в программно-аппаратные средства, классифицируются как программное обеспечение; схемы, содержащие компьютерную программу и данные, классифицируются как технические средства.
Статья: Правовое регулирование отношений в области предотвращения возможных уязвимостей в информационных технологиях
(Жарова А.К.)
("Безопасность бизнеса", 2022, N 1)В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной Федеральной службой по техническому и экспортному контролю (ФСТЭК) РФ 15 февраля 2008 г., под уязвимостью понимается "некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации" <10>. В соответствии с Национальным стандартом Российской Федерации под уязвимостью понимаются "недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование" <11>. Анализ данных нормативных актов позволяет сделать вывод, что декларация и открытие производителями информации об уязвимостях в ИТ позволит обеспечить информационную безопасность.
(Жарова А.К.)
("Безопасность бизнеса", 2022, N 1)В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной Федеральной службой по техническому и экспортному контролю (ФСТЭК) РФ 15 февраля 2008 г., под уязвимостью понимается "некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации" <10>. В соответствии с Национальным стандартом Российской Федерации под уязвимостью понимаются "недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование" <11>. Анализ данных нормативных актов позволяет сделать вывод, что декларация и открытие производителями информации об уязвимостях в ИТ позволит обеспечить информационную безопасность.
Нормативные акты
<Письмо> Минэнерго России от 29.06.2021 N НШ-7491/07
"О базовой модели угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности)"- "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры", утвержденная Заместителем директора ФСТЭК России 18.05.2007;
"О базовой модели угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности)"- "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры", утвержденная Заместителем директора ФСТЭК России 18.05.2007;
Постановление Правительства РФ от 19.06.2020 N 890
(ред. от 10.06.2023)
"О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)"
(вместе с "Правилами предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)")
(с изм. и доп., вступ. в силу с 01.01.2024)совместно с Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации до 1 января 2021 г. разработать базовую модель нарушителя (базовую модель угроз безопасности информации) в интеллектуальных системах учета электрической энергии (мощности) и разместить на официальном сайте Министерства энергетики Российской Федерации в информационно-телекоммуникационной сети "Интернет".
(ред. от 10.06.2023)
"О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)"
(вместе с "Правилами предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)")
(с изм. и доп., вступ. в силу с 01.01.2024)совместно с Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации до 1 января 2021 г. разработать базовую модель нарушителя (базовую модель угроз безопасности информации) в интеллектуальных системах учета электрической энергии (мощности) и разместить на официальном сайте Министерства энергетики Российской Федерации в информационно-телекоммуникационной сети "Интернет".