вторник, 28 июня 2016 г.

Как защитить персональные данные в организации?Модель угроз. Часть 3

Моделирование угроз (МУ) очень скрупулёзный процесс. Причём такой интересный момент, что для МУ для ИСПДн есть методические рекомендации и ФСТЭК и ФСБ, а для ГИС -нет ничего. В 17 приказе ФСТЭК написано что нужна МУ, а по каким методикам делать не написано. Ну да ладно.

В общем для МУ ИСПДн необходимо смотреть несколько нормативных документов.

1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15.02.2008.

2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14.02.2008. (На сайте ФСТЭК лежит проект нового методического документа МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

как видно по названию без привязки к ПДн, но это пока проект и пользуемся пока старой методичкой).

3. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014г. №378 г.Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости".

4. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности. Утверждены руководством 8 центра ФСБ России 31 марта 2015 г.

Старые документы ФСБ не пишу , потому что с ними отдельный разговор, у них до сих пор они действуют. Но со слов самих же представителей ФСБ, говорят что делайте мол по последним изданным. Но тем не менее старые документы официально не отменены.*

Опишу кратко последовательность. Из определённых вами ИСПДн, необходимо посмотреть какие угрозы угрозы к ней применимы с помощью документа из пункта [1], после, с помощью документа [2] оцениваем каждую угрозу, насколько она актуальна или не актуальна. Далее нужно посмотреть, будут ли применяться в ИСПДн средства криптографической защиты информации (СКЗИ). Если будут, то соответственно необходимо описывать модель нарушителя и включать в перечень угроз, угрозы связанные с хищением и атак на СКЗИ и их компоненты, в помощь соответственно документы [3] и [4].
*Пока я писал это сообщение вышла новость, что ФСБ отменили свои старые документы, цитирую  «В связи с выводом из действия постановления Правительства Российской Федерации от 17 ноября 2007 года №781 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» и «Типовые требования по организации и обеспечению функционирования  шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» утратили актуальность.


2 комментария:

  1. Добрый день! Если в организации несколько ИСПДн, то Модель угроз надо делать на каждую? или можно описать все в одной?

    ОтветитьУдалить
  2. Антон, добрый день!
    Угрозы необходимо рассматривать для каждой ИСПДн. А вот в какой форме это будет, в одном документе или в нескольких это уже на ваше усмотрение.

    ОтветитьУдалить