Определение модели угроз безопасности является первым шагом к проектированию системы защиты информации в ГИС. Необходимость разработки модели угроз безопасности информации для ГИС регламентирована пунктом 14.3 нормативного документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года).
Документ «Модель угроз безопасности информации» является первой ступенью в проектировании системы защиты информации в ГИС наряду с определением класса защищенности информационной системы. В дальнейшем именно на основании актуальных угроз безопасности и класса защищенности ГИС будет определяться перечень организационных и технических мер по защите информации в ГИС.
В процессе разработки модели угроз, специалисту необходимо:
— описать используемые в ГИС информационные технологии, разработать и приложить функциональную схему ГИС;
— описать элементы физической охраны в организации-операторе ГИС;
— описать используемые в ГИС технические и программные средства;
— определить необходимость использования криптографических средств защиты информации для защиты информации в ГИС;
— определить характеристики безопасности информации в ГИС;
— описать принципы модели угроз;
— определить возможных нарушителей безопасности информации (модель нарушителя);
— определить класс СКЗИ, который должен применяться в ГИС (при необходимости);
— определить показатель исходной защищенности ГИС;
— определить последствия от нарушения свойств безопасности информации;
— определить опасность угроз;
— проанализировать более 200 угроз из банка данных угроз ФСТЭК России (bdu.fstec.ru) на предмет актуальности.
К сожалению, поскольку отдельная методика моделирования угроз безопасности информации для ГИС отсутствует, специалисты вынуждены использовать методические документы по моделированию угроз безопасности информации персональных данных при их обработке в информационных системах персональных данных.
Поскольку разработка модели угроз безопасности информации в ГИС является, по сути, этапом проектирования системы защиты информации, то при передаче этих работ сторонней организации, такая организация должна иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с возможностью оказывать услуги на проектирование в защищенном исполнении средств и систем информатизации.