Определение типа угроз
Операции с документом
Добрый день!
Проконсультируйте пожалуйста по такому вопросу:
При подготовке Акта по определению УЗ, столкнулись с п.7 ПП 1119, где сказано следующее: "Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1".
Раньше, определяя тип угроз, коллегиально с представителями заказчиков принимали решение, какой тип угроз считать актуальными, исходя из перечня установленного системного и прикладного ПО, без произведения оценки возможного вреда. Сейчас же поступили замечания к актам, со ссылкой на п.7 ПП 1119.
Подскажите пожалуйста, никаких комментариев и методик по оценке вреда нет, каким образом применять данный пункт?
При оценке вреда сейчас, насколько мне известно, в отсутствии национальных стандартов или нормативных документов по оценке вреда, операторы поступают двумя способами:
- По старинке. Определяют степень вреда путем "опроса экспертов" как это указано в методике определения актуальных угроз ФСТЭК "При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн". Опасность и вред - это одно и то же.
- Для более продвинутых. Самостоятельно разрабатывают методику определения вреда, в которой вводят соответствующие критерии , коэффициенты и т.п. И вводят эту методику приказом по организации.
А каким образом степень вреда привязывается к типу угроз в таком случае?При оценке вреда сейчас, насколько мне известно, в отсутствии национальных стандартов или нормативных документов по оценке вреда, операторы поступают двумя способами:
- По старинке. Определяют степень вреда путем "опроса экспертов" как это указано в методике определения актуальных угроз ФСТЭК "При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн". Опасность и вред - это одно и то же.
- Для более продвинутых. Самостоятельно разрабатывают методику определения вреда, в которой вводят соответствующие критерии , коэффициенты и т.п. И вводят эту методику приказом по организации.
Определение типа актуальных угроз производится с учетом оценки возможного вреда. Общий подход может быть следующим.
Возможный вред оценивается экспертным методом с использованием той или иной табличной методики, в которой рассматриваются последствия реализации угроз (например, использование ПДн в криминальных целях, публикация в СМИ и т.п.) Для каждого сценария компрометации ПДн (последствия) по качественной шкале оценивается степень вреда для субъекта (ущерба). Т.о. для каждого типа актуальной угрозы получают оценку суммарного (или среднего) вреда.
Помимо оценки вреда при определении типа актуальных угроз учитываются также характеристики (показатели) системного и прикладного ПО, такие как лицензированность, сертифицированность, серийность и пр.
Объединяя показатель ПО и степень вреда получают оценку угрозы. Если эта оценка превышает некий установленный уровень для данного типа угрозы, то данный тип угрозы признается актуальным.
Спасибо за разъяснения!Определение типа актуальных угроз производится с учетом оценки возможного вреда. Общий подход может быть следующим.
Возможный вред оценивается экспертным методом с использованием той или иной табличной методики, в которой рассматриваются последствия реализации угроз (например, использование ПДн в криминальных целях, публикация в СМИ и т.п.) Для каждого сценария компрометации ПДн (последствия) по качественной шкале оценивается степень вреда для субъекта (ущерба). Т.о. для каждого типа актуальной угрозы получают оценку суммарного (или среднего) вреда.
Помимо оценки вреда при определении типа актуальных угроз учитываются также характеристики (показатели) системного и прикладного ПО, такие как лицензированность, сертифицированность, серийность и пр.
Объединяя показатель ПО и степень вреда получают оценку угрозы. Если эта оценка превышает некий установленный уровень для данного типа угрозы, то данный тип угрозы признается актуальным.
Забыли пароль?
Новый пользователь?
