//
Снижение операционного риска финансовой организации, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Для противостояния угрозам безопасности информации и их влиянию на операционный риск, финансовым организациям требуется определить достаточность и адекватность состава и содержания мер защиты информации, что невозможно без знания всех актуальных угроз безопасности информации.
Банком России разработан ГОСТ Р 57580, который содержит требования к содержанию базового состава мер защиты информации (требования к системе защиты информации) для информационных систем финансовых организаций, выбор которых производится с учетом модели угроз и нарушителей безопасности информации.
Банк России рекомендует составлять такие модели с привлечением сторонних организаций, обладающих необходимым опытом, знаниями и компетенцией.
НТЦ «Вулкан», обладая экспертами с требуемой компетенцией и опытом, готов выполнить в интересах заказчика комплекс работ по формированию Модели угроз и нарушителей в соответствии с рекомендациями ГОСТ Р 57580.
Степень детализации содержимого моделей угроз и нарушителей безопасности информации может быть различна и определяется реальными потребностями финансовой организации. Модели угроз и нарушителей безопасности информации носят прогнозный характер, разрабатываясь при этом на основе опыта, знаний и практики.
Под угрозами безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реальную опасность утечки информации, несанкционированных и (или) непреднамеренных воздействий на неё. При выполнении работ по разработке Модели угроз и нарушителей в соответствии с рекомендациями ГОСТ Р 57580, специалистами «Вулкан» оценивается:
Согласно ГОСТ Р 57580, Модели угроз и нарушителя являются обязательным документом любой финансовой организации. Это обусловлено тем, что без модели невозможно построить адекватную систему защиты информации. С точки зрения материальных затрат, определяя актуальные угрозы безопасности информации возможно отказаться от некоторых базовых мер защиты, выработать компенсирующие меры защиты и, тем самым, сократить расходы на создание всей системы защиты.