Rambler's Top100
Блоги Андрей ПРОЗОРОВ

Методрекомендации ФСБ

  16 июня 2015 Страница персоны
На сайте ФСБ России неожиданно появился документ "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утверждены руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432).
Настоящие методические рекомендации предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов, которые, в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее – НПА)
Вроде бы как они не для операторов ПДн, но читаем дальше:
Настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных.
Также в документе в явном виде определены условия необходимости использования СКЗИ:
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся: 
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при 6 передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов

Поэтому я очень рекомендую ориентироваться на данные документ при разработке моделей угроз ПДн. Тем более, что он довольно понятный и, о чудо, в нем даже есть пример описания уточненных возможности источников атак. 

Для своих нужд сделал небольшую майндкарту, может и вам пригодится (в PDF тут):



Из блога Андрея Прозорова

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.