Разработка модели угроз безопасности персональных данных и модели нарушителя

Описание

Разработка частной модели угроз является необходимым условием формирования обоснованных требований к обеспечению безопасности персональных данных, обрабатываемых в ИСПДн и проектирования СЗПДн, включает в себя:

  • определение исходного уровня защищенности ИСПДн;
  • расчет показателя защищенности;
  • построение модели нарушителя;
  • построение предварительного перечня угроз безопасности ПДн (с учетом рассматриваемой модели нарушителя);
  • определение вероятности реализации угроз (для каждой угрозы из предварительного перечня);
  • определение опасности угроз (для каждой угрозы из предварительного перечня);
  • определение актуальности угроз (для каждой угрозы из предварительного перечня);
  • описание возможных мер противодействия (технических или организационных) угрозам (для актуальных угроз).

Модель угроз — документ, используемый для:

  • анализа защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
  • разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего уровня защищенности ИСПДн;
  • проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
  • контроля обеспечения уровня защищенности персональных данных.

Частная модель угроз безопасности ПДн при их обработке в ИСПДн разрабатывается во исполнение части 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и нормативно-методических документов.

Результат работ

Частная модель угроз и модель нарушителя с перечнем актуальных угроз, разработанные в соответствии с требованиями нормативных документов ФСТЭК и ФСБ России и с учетом условий функционирования информационной системы.