Методические рекомендации ФСБ России по разработке нормативных правовых актов, определяющих угрозы безопасности ПДн

Методические рекомендации ФСБ России по разработке нормативных правовых актов, определяющих угрозы безопасности ПДн
Настоящие методические рекомендации предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов, которые, в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее – НПА)
Вроде бы как они не для операторов ПДн, но читаем дальше:
Настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных.
Также в документе в явном виде определены условия необходимости использования СКЗИ:
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся: 
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при 6 передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов

Поэтому я очень рекомендую ориентироваться на данные документ при разработке моделей угроз ПДн. Тем более, что он довольно понятный и, о чудо, в нем даже есть пример описания уточненных возможности источников атак. 

Для своих нужд сделал небольшую майндкарту, может и вам пригодится (в PDF тут ):


Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Andrey Prozorov

Информационная безопасность в России и мире