В предыдущем сообщения я рассмотрел варианты документов, в которым может быть документирован выбор методов и способов защиты ПДн. Как выбрать необходимые методы и способы защиты ПДн в нормативных документах РФ по ПДн не определено.
Зато в такой ситуации нам ничего не мешает использовать международные стандарты. По сути выбор методов и способов защиты ПДн является менеджментом рисков связанных с актуальными угрозами ПДн которые обыли определены в МУ. Можно руководствоваться например ISO/IEC 27005:2008 и для каждой угрозы определить:
·Применяемые в данный момент методы и способы защиты ПДн (контроли) которые связанны с данной угрозой.
·Методы и способы защиты ПДн (контроли), которых достаточно для нейтрализации данной угрозы.
Например, рассмотрим угрозу «Внедрение вредоносных программ по сети». Пусть в Организации применяются только средства антивирусной защиты, не прошедшие процедуру оценки соответствия; других методов и способов защиты не применяется. Например, можно считать, что необходимыми и достаточными методами и способами защиты ПДн для нейтрализации данной грозы являются:
·Анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
·Использование средств антивирусной защиты, прошедших в установленном порядке процедуру оценки соответствия;
·Использование средств обнаружения вторжений, прошедших в установленном порядке процедуру оценки соответствия.
В соответствии с моделью угроз мы определяем, что данная угроза актуальна Организации и необходимо применять приведенные выше методы и способы защиты ПДн.
Схожий алгоритм выбора методов и способов защиты ПДн так-же определен в разделе 5.5 документа СТО НАПФ 4.2–2010. В приложение Б к СТО НАПФ 4.2–2010 для каждой угрозы определен перечень возможных мер защиты, которые могут использованы для нейтрализации актуальных угроз.
