Моделирование угроз безопасности ПДн в рамках 152-ФЗ в типовых конфигурациях 1С

Моделирование угроз безопасности ПДн в рамках 152-ФЗ в типовых конфигурациях 1С
сегодня в 13:30
54
+1

Утечка данных, вирусная атака или ошибки сотрудников могут привести к серьезным последствиям для бизнеса. Рассказываем, как определить наиболее опасные угрозы для ИСПДн и выбрать меры защиты. Больше о защите ПДн – на курсе Инфостарт Обучения.

Угрозы безопасности персональных данных – это ситуации, при которых посторонние могут получить доступ к личной информации, изменить ее, удалить или распространить без разрешения. Такие угрозы возникают из-за технических сбоев, ошибок сотрудников или действий злоумышленников.

Чтобы понять, насколько вы уязвимы, ответьте на два вопроса:

  1. Насколько часто такая угроза случается в вашей сфере деятельности?
  2. Как хорошо сейчас защищена ваша система от этой угрозы?

Методика ФСТЭК: приоритезируем возможные угрозы

Для обоснования решений перед проверкой или системного подхода к защите используйте методику ФСТЭК. Она включает 4 шага:

  1. Оцените начальный уровень защиты системы.
  2. Рассчитайте вероятность реализации каждой угрозы.
  3. Сопоставьте риски и приоритеты.
  4. Определите, какие угрозы актуальны для вашей системы.

Методика помогает отсеять маловероятные сценарии и сосредоточиться на действительно опасных – тех, что характерны именно для вашей системы. Она предлагает опираться на данные из официального Банка угроз.

Предлагаю разделить меры защиты на 3 этапа:

  1. Защита от угроз с помощью организационных мер защиты.
  2. Защита от угроз с помощью имеющихся или бюджетных средств защиты.
  3. Защита от угроз с помощью дорогостоящих средств защиты.

Организационные меры защиты

Первый этап, с которого стоит начать защиту от угроз – организационный: это составление приказов, правил работы с данными и т. д. Что сюда можно отнести:

  • УБИ. 023. Угроза изменения компонентов информационной системы;
  • УБИ. 067. Угроза неправомерного ознакомления с защищаемой информацией;
  • УБИ. 030. Угроза использования аутентификации, заданной по умолчанию;
  • УБИ. 074. Угроза несанкционированного доступа к аутентификационной информации.

Обычно эти угрозы связаны с несанкционированным получением пользователями административных прав доступа либо халатного отношения к элементарной парольной безопасности.

Основными мерами защиты от угроз первого этапа будет:

  • разработка парольной политики;
  • контроль за действиями пользователей;
  • меры противодействия компрометации паролей.

Технические меры защиты (бюджетные)

К угрозам следующего этапа относятся те, от которых можно защититься посредством уже имеющихся в организации средств, например, антивирусных систем или межсетевых экранов.

Если таких средств защиты информации нет, можно приобрести бюджетные варианты подобных систем, либо использовать типовые средства, входящие в состав операционных систем.

Какие угрозы есть на этом этапе:

  • УБИ. 088. Угроза несанкционированного копирования защищаемой информации;
  • УБИ. 210. Угроза нарушения работы ИС, вызванного обновлением;
  • УБИ. 063. Угроза некорректного использования функционала ПО и АО;
  • УБИ. 034. Угроза использования слабостей протоколов обмена данными;
  • Угрозы вирусов или внедрения вредоносного кода (УБИ. 006, УБИ. 190, УБИ. 191).

Зачастую они связаны с нарушением правил безопасного обновления конфигураций 1С, вирусной угрозой либо неправильной организацией сетевой безопасности.

Основными мерами защиты от угроз второго этапа будет:

  • использование систем антивирусной защиты;
  • организация резервного копирования;
  • грамотная реализация процесса обновления конфигураций 1С.

Технические меры защиты (дорогостоящие)

К угрозам следующего этапа можно отнести те, для защиты от которых требуются дорогостоящие средства.

Примеры таких угроз:

  • УБИ. 214. Угроза несвоевременного выявления реагирования на события ИБ;
  • УБИ. 155. Угроза утраты вычислительных ресурсов.

Как правило, меры противодействия угрозам связаны с неправильной настройкой удаленного доступа к серверу и нарушениями безопасности при публикации информационных баз.

Для защиты от угроз третьего этапа необходимы:

  • системы обнаружения и предотвращения вторжения;
  • безопасная организация удаленного доступа;
  • обеспечение безопасного хранения данных.

Модель угроз – документ, в котором перечислены возможные угрозы безопасности персональных данных при их обработке в информационных системах. Для каждой ИСПДн составляется отдельная модель угроз.

Этапы процесса моделирования

Декомпозиция приложения

На этом этапе подробно вникаем в работу информационной системы, чтобы понять, как она взаимодействует с внешними объектами: другими приложениями, инфраструктурой и т. д. Мы создаем сценарии использования, определяем точки входа в приложение и другие сущности, которые могут заинтересовать нарушителя.

Определение и ранжирование угроз

Ранжирование помогает определить актуальность, категории, типы угроз и вероятность их возникновения, а также слабые места средств контроля безопасности. Списки общих угроз с примерами помогут понять, как злоумышленники могут атаковать информационные системы.

Определение мер по снижению риска и мер противодействия

Меры противодействия снижают уровень уязвимости систем. После присвоения угрозам рейтинга риска на втором этапе сортируем их по уровню и определяем приоритетность усилий по снижению риска.

Содержание базовой модели угроз

Раздел 1. Введение

В начале документа описывается общая информация о документе и защищаемой информационной системе.

Раздел 2. Общие сведения

Раздел содержит общие сведения об информационной инфраструктуре, защищаемой ИСПДн.

Раздел 3. Модель угроз

Здесь содержится список актуальных угроз безопасности.

Раздел 4. Определение уровня защищенности

Раздел описывает порядок определения уровня защищенности ПДн при их обработке в ИСПДн.

Раздел 5. Меры по обеспечению безопасности информации

Здесь описывают, какие меры безопасности информации используются и как их выбирали.

Раздел 6. Выводы

Результаты создания модели угроз.

Больше информации о работе с персональными данными – на курсе

Разработка модели угроз требует высокого уровня знаний в области 152-ФЗ, угроз безопасности и методов борьбы с ними. На нашем курсе мы очень подробно рассматриваем 152-ФЗ и все аспекты, которые позволят составить модель угроз, соответствующую всем требованиям. Также мы приложим пример модели угроз в рамках сквозного примера.

Новый поток стартует 15 июня. Вы подробнее изучите организационные и технические меры безопасности, научитесь оформлять обязательную документацию, проводить аудит защиты персональных данных и настраивать безопасность серверной инфраструктуры. Помимо модели угроз вы получите другие шаблоны документов и инструкции по их заполнению.

Ждем в рядах слушателей руководителей бизнеса, ИТ-специалистов, администраторов, специалистов по информационной безопасности и всех, кто отвечает за обработку и защиту персональных данных в организации.

Записаться на курс

Если вам удобнее смотреть новости в телеграме, то вот наша группа – ИНФОСТАРТ.

+1
Автор:
Игорь Засуха

См. также

Почему ИИ не заменит аналитика в написании технического задания
+2

Новость Обучение Бизнес-аналитик

ИИ для большинства компаний уже стал рабочим инструментом. Он помогает отвечать клиентам, обрабатывать данные, искать ошибки и ускорять рутину. Поэтому все чаще звучит вопрос: сможет ли он заменить специалистов, в том числе аналитика 1С?

19.05.2026    350    ZasukhaIV    0       

2
1С как центр бизнес-экосистемы: почему обмен данными стал ключевым навыком разработчика
+3

Новость Обучение

Корректно настроенный обмен данными влияет на скорость работы и эффективность бизнес-процессов. Разбираем основные виды интеграций в 1С, особенности обменов между конфигурациями и внешними сервисов, а как реализовать их на практике – научим на курсе.

14.05.2026    591    ZasukhaIV    0       

3
Майские курсы Инфостарт Обучения для аналитиков и программистов
+1

Новость Обучение

В мае запускаются курсы по управлению требованиями в проектах автоматизации и программированию на 1С. Участников научат выстраивать работу с бизнес-процессами и разрабатывать решения на платформе 1С. Присоединяйтесь к потокам.

05.05.2026    742    Alice_Brineva    0       

1
Язык запросов 1С: 5 приемов, которые оптимизируют работу с данными
+19 20

Новость Обучение

Как эффективно использовать данные в 1С и составлять высокопроизводительные запросы? Несколько рабочих приемов рассмотрим в этом материале, а еще больше нюансов работы с языком запросов – в курсе Инфостарт Обучения.

30.04.2026    5276    nbondarenko    13       

-1
Работа с требованиями: как понять потребности бизнеса без знания предметной области
+15

Новость Обучение

Почему проекты «расползаются» по требованиям и как этого избежать? Разбираем пошаговый переход от бизнес-требований к системным через призму процессов. Еще больше о нюансах работы аналитика – на бесплатном мастер-классе 7 мая, присоединяйтесь!

30.04.2026    914    e_ivanova    0       

15
6 онлайн-курсов для 1С-специалистов и не только: старт 15 мая
+16

Новость Обучение Бизнес-аналитик Программист

Если давно откладывали обучение, сейчас удобный момент начать. Не нужно ждать старта потока: доступ к материалам открывается сразу после оплаты, и к курсу можно приступить в любой день.

28.04.2026    710    ebaskakova    0       

16
Работа с требованиями: как аналитику разобраться в специфике бизнеса
+17

Новость Обучение

Сегодня рассматриваем виды бизнес-требований, их взаимосвязи и подход, который помогает удерживать контур проекта и фокусироваться на целях. Еще больше о нюансах работы аналитика – на бесплатном мастер-классе 7 мая, присоединяйтесь!

24.04.2026    1168    e_ivanova    1       

17
5 мая стартуют 11 онлайн-курсов для 1С-специалистов
+15

Новость Обучение

Инфостарт открыл набор на новую волну обучения для 1С-специалистов. 5 мая начнутся потоки по 11 практическим онлайн-курсам – от вводных программ для начинающих до курсов по мобильной разработке, интеграциям и аналитике.

23.04.2026    740    ebaskakova    0       

15
Инфостарт бот
Для отправки сообщения требуется регистрация/авторизация