Рубрикатор |
Блоги | Андрей ПРОЗОРОВ |
Методрекомендации ФСБ
16 июня 2015 |
На сайте ФСБ России неожиданно появился документ "Методические
рекомендации по разработке нормативных правовых актов, определяющих
угрозы безопасности персональных данных, актуальные при обработке
персональных данных в информационных системах персональных данных,
эксплуатируемых при осуществлении соответствующих видов деятельности" (утверждены руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432).
Настоящие методические рекомендации предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов, которые, в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее – НПА)Вроде бы как они не для операторов ПДн, но читаем дальше:
Настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных.Также в документе в явном виде определены условия необходимости использования СКЗИ:
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при 6 передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов
Поэтому я очень рекомендую ориентироваться на данные документ при
разработке моделей угроз ПДн. Тем более, что он довольно понятный и, о
чудо, в нем даже есть пример описания уточненных возможности источников
атак.
Для своих нужд сделал небольшую майндкарту, может и вам пригодится (в PDF тут):
Из блога Андрея Прозорова
Из блога Андрея Прозорова
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.