Моделирование угроз и оценка рисков
Одним из ключевых этапов построение системы защиты информации является оценка возможности реализации угроз информационной безопасности в конкретной информационной инфраструктуре Заказчика.
Анализ потенциальных угроз и оценка рисков позволят построить адекватную защиту как с экономической точки зрения, так и с технической. Важно учесть возможные бреши в текущей инфраструктуре, понять, как они влияют друг на друга, какие злоумышленники (внутренние/внешние) в одиночку или в сговоре могут реализовать потенциальные угрозы.
Моделирование угроз и определение нарушителей производится на основании методических документов ФСТЭК России, ФСБ России и bdu.fstec.ru.
Оценка рисков производится на основании серии стандартов ГОСТ Р ИСО/МЭК 2700x.
Важным моментом при оказании услуги является не только обследование инфраструктуры (в том числе настроек средств защиты и оборудования), но и использование в работе сканеров анализа защищенности, а иногда и проведение тестов на проникновение с интерпретированием результатов.