Разработка модели угроз безопасности персональных данных при их обработке в ИСПДн

Определение модели угроз безопасности является первым шагом к проектированию системы защиты информации в ИСПДн. Модель угроз безопасности информации – один из немногих документов, необходимость создания которого регламентирована в нормативных актах начиная с самого федерального закона «О персональных данных».

Документ «Модель угроз безопасности информации» является первой ступенью в проектировании системы защиты информации в ИСПДн наряду с определением уровня защищенности персональных данных. В дальнейшем именно на основании актуальных угроз безопасности и уровня защищенности персональных данных будет определяться перечень организационных и технических мер по защите персональных данных в ИСПДн.
В процессе разработки модели угроз, специалисту необходимо:
— описать используемые в ИСПДн информационные технологии, разработать и приложить функциональную схему ИСПДн;
— описать элементы физической охраны в организации-операторе персональных данных;
— описать используемые в ИСПДн технические и программные средства;
— определить необходимость использования криптографических средств защиты информации для защиты персональных данных в ИСПДн;
— определить характеристики безопасности персональных данных в ИСПДн;
— описать принципы модели угроз;
— определить возможных нарушителей безопасности персональных данных (модель нарушителя);
— определить класс СКЗИ, который должен применяться в ИСПДн (при необходимости);
— определить показатель исходной защищенности ИСПДн;
— определить последствия от нарушения свойств безопасности информации;
— определить опасность угроз;
— проанализировать более 200 угроз из банка данных угроз ФСТЭК России (bdu.fstec.ru) на предмет актуальности.
Поскольку разработка модели угроз безопасности персональных данных при их обработке в ИСПДн является, по сути, этапом проектирования системы защиты персональных данных, то при передаче этих работ сторонней организации, такая организация должна иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с возможностью оказывать услуги на проектирование в защищенном исполнении средств и систем информатизации.