Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Методические рекомендации ФСБ России по разработке нормативных правовых актов, определяющих угрозы безопасности ПДн

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Настоящие методические рекомендации предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов, которые, в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее – НПА)
Вроде бы как они не для операторов ПДн, но читаем дальше:
Настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных.
Также в документе в явном виде определены условия необходимости использования СКЗИ:
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся: 
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при 6 передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов

Поэтому я очень рекомендую ориентироваться на данные документ при разработке моделей угроз ПДн. Тем более, что он довольно понятный и, о чудо, в нем даже есть пример описания уточненных возможности источников атак. 

Для своих нужд сделал небольшую майндкарту, может и вам пригодится (в PDF тут):


 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.