Настоящая «Базовая
модель угроз безопасности персональных данных при их обработке в информационных
системах персональных данных» (далее – Модель угроз) содержит
систематизированный перечень угроз безопасности персональных
данных при их обработке в информационных системах персональных данных.
Эти угрозы обусловлены преднамеренными или непреднамеренными действиями
физических лиц, действиями зарубежных спецслужб или организаций (в том числе
террористических), а также криминальных группировок, создающих условия
(предпосылки) для нарушения безопасности персональных данных (ПДн), которое
ведет к ущербу жизненно важных интересов личности, общества и государства.
Модель угроз содержит единые исходные
данные по угрозам безопасности персональных данных,
обрабатываемых в информационных системах персональных данных (ИСПДн), связанным:
с перехватом
(съемом) ПДн по техническим каналам с целью их копирования или неправомерного
распространения;
с несанкционированным,
в том числе случайным, доступом в ИСПДн с целью изменения, копирования,
неправомерного распространения ПДн или деструктивных воздействий на элементы
ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных
средств с целью уничтожения или блокирования ПДн.
С применением
Модели угроз решаются следующие задачи:
разработка
частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их
назначения, условий и особенностей функционирования;
анализ
защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения
работ по обеспечению безопасности ПДн;
разработка
системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с
использованием методов и способов защиты ПДн, предусмотренных для
соответствующего класса ИСПДн;
проведение
мероприятий, направленных на предотвращение несанкционированного доступа к ПДн
и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение
воздействия на технические средства ИСПДн, в результате которого может быть
нарушено их функционирование;
контроль
обеспечения уровня защищенности персональных данных.
В Модели угроз
дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы
безопасности персональных данных (УБПДн), основных классов уязвимостей ИСПДн,
возможных видов деструктивных воздействий на ПДн, а также основных способов их
реализации.
Угрозы
безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз,
могут уточняться и дополняться по мере выявления новых источников угроз, развития
способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модель угроз осуществляется
ФСТЭК России в устанавливаемом порядке. |