"Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении...

Таблица N 1

N

Обобщенные возможности источников атак

Да/нет

1

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны

2

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам (далее - АС), на которых реализованы СКЗИ и среда их функционирования

3

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к АС, на которых реализованы СКЗИ и среда их функционирования

4

Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ)

5

Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения);

6

Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ).

При этом заполнение пунктов 4, 5 и 6 Таблицы N 1 должно осуществляться с учетом объема и содержания обрабатываемых в информационных системах персональных данных, и результатов произведенной во исполнение пункта 5 части 1 статьи 18 [1] Закона оценке возможного вреда субъекту персональных данных.

3.3. Реализация угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных, определяется возможностями источников атак. Таким образом, актуальность использования возможностей источников атак определяет наличие соответствующих актуальных угроз.

В зависимости от положительных ответов в Таблице N 1 следует заполнить Таблицу N 2 по следующим правилам:

В случае, если выбрана только обобщенная возможность N 1, то в Таблице N 2 необходимо привести обоснование признания угроз 1.1 - 4.3 неактуальными.

При обосновании неактуальности угроз следует приводить перечень организационно-технических мер, реализация которых позволяет нейтрализовать такие угрозы, или особенности функционирования и организации эксплуатации информационной системы, делающие такие угрозы неактуальными.

Пример заполнения Таблицы N 2 в случае выбора обобщенной возможности N 1 приведен в Приложении N 1.

В случае, если в Таблице N 1 максимально выбранная обобщенная возможность не выше N 2, то в Таблице N 2 обязательно актуальна хотя бы одна из угроз 1.1 - 1.4, а также необходимо привести обоснование признания угроз 2.1 - 4.3 неактуальными.

В случае, если в Таблице N 1 максимально выбранная обобщенная возможность не выше N 3, то в Таблице N 2 обязательно актуальна хотя бы одна из угроз 1.1 - 2.2, а также необходимо привести обоснование признания угроз 3.1 - 4.3 неактуальными.

В случае, если в Таблице N 1 максимально выбранная обобщенная возможность не выше N 5, то в Таблице N 2 обязательно актуальна хотя бы одна из угроз 1.1 - 3.3, а также необходимо привести обоснование признания угроз 4.1 - 4.3 неактуальными.

Пример заполнения Таблицы N 2 в случае выбора обобщенной возможности N 5 приведен в Приложении N 2.

В случае, если в Таблице N 1 выбрана обобщенная возможность N 6, то заполнять Таблицу N 2 нет необходимости.

3. Определение актуальных угроз Таблица N 2