В соответствии с «Положением о методах и способах защиты информации в информационных системах персональных данных» выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы.
При этом в разделах 2 и 3 «Положения …» определены общие методы и способы, а в приложении к «Положению …» приведена детализация этих методов и способов.
Периодически возникает вопрос: каким образом на основе перечня актуальных угроз и класса ИСПДн должны определятся методы и способы защиты информации и в каком документе этот выбор должен быть зафиксирован?
В каком документе надо описывать определение выбора методов и способов защиты? Рассмотрим стандартные документы: отчет об обследовании, модель угроз и нарушителя, техническое задание на СЗПДн, эскизный или технический проект на СЗПДн.
При формировании отчета об обследовании ИСПДн угрозы ещё не определены, так что он отпадает.
Разработка проекта на СЗПДн осуществляется на основании конкретных требований к функциям СЗПДн из ТЗ. То есть на этапе разработки проекта СЗПДн определяется комплекс средств защиты и уже поздно выбирать методы и способы защиты.
Остаются следующие варианты:
1.Определить методы и способы защиты ПДн в модели угроз.
2.Определить методы и способы защиты ПДн в ТЗ на СЗПДн.
3.Определить общие методы и способы защиты ПДн в модели угроз, а детализацию методов и способов защиты ПДн в ТЗ на СЗПДн.
