Разработка модели нарушителя и модели угроз безопасности ПДн
Для определения возможных способов реализации угроз безопасности ПДн и последствий их реализации, а также формирования требований к защите ПДн, обрабатываемых в рамках жизненного цикла ИСПДн, осуществляется оценка угроз ПДн, результаты которой фиксируются в Модели угроз безопасности персональных данных.
В рамках оказания услуги выполняются следующие этапы:
- определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности ПДн;
- инвентаризация информационных ресурсов (систем и сетей) организации;
- определение источников угроз безопасности ПДн;
- оценка возможностей нарушителей по реализации угроз безопасности ПДн;
- оценка способов реализации (возникновения) угроз безопасности ПДн;
- оценка возможности реализации (возникновения) угроз безопасности ПДн;
- определение актуальности угроз безопасности ПДн;
- оценка сценариев реализации угроз безопасности ПДн.
Требования к выполнению оценки угроз безопасности ПДн зафиксированы в следующих нормативно-правовых актах:
- Федерального закона от 27.07.2006 № 152 «О персональных данных»;
- Постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказа ФСТЭК России от 18.02.2013 №21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных России».
Оценка угроз безопасности ПДн осуществляется на основании Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 05.02.2021. В дополнение к определенным в Методике ФСТЭК России тактикам наши эксперты могут рассмотреть базу данных MITRE ATT&CK и другие зарубежные каталоги способов, тактик реализации угроз безопасности информации.
Оценка угроз безопасности ПДн может быть также проведена нашими экспертами по иной методике, принятой в вашей Организации.
Результатом оказания услуги является Модель угроз безопасности персональных данных.