Что входит в число исходных данных при оценке угроз безопасности информации в IT-системах?

Некоторые исходные данные, которые используются при оценке угроз безопасности информации в IT-системах:

• Общий перечень угроз и модели угроз безопасности информации, в том числе отраслевые (ведомственные, корпоративные). bazanpa.ru www.garant.ru
• Описания векторов компьютерных атак, которые содержатся в базах данных и иных источниках, опубликованных в интернете (CAPEC, ATT&CK, OWASP, STIX, WASC и другие). bazanpa.ru www.garant.ru
• Нормативные правовые акты, в соответствии с которыми создаются и функционируют системы и сети. bazanpa.ru www.garant.ru Они содержат описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и её правовой режим. bazanpa.ru www.garant.ru
• Документация на сети и системы. bazanpa.ru www.garant.ru Включает сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей и уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах. bazanpa.ru www.garant.ru
• Договоры, соглашения или иные документы, которые содержат условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг. bazanpa.ru www.evraas.ru
• Результаты оценки ущерба (рисков), проведённой обладателем информации или оператором. bazanpa.ru
• Негативные последствия от реализации (возникновения) угроз безопасности информации. bazanpa.ru
• Объекты воздействия угроз безопасности информации и виды воздействия на них. bazanpa.ru

Эти исходные данные могут быть дополнены иными документами и сведениями с учётом особенностей области деятельности, в которой функционируют системы и сети. bazanpa.ru