Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ РС БР ИББС-2.4-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИН".
5. Общий подход к составлению Отраслевой модели угроз
5.1. Угрозы безопасности персональных данных (ПДн) при их
обработке в информационных системах персональных данных (ИСПДн)
организаций БС РФ - это:
- угроза нарушения доступности ПДн;
- угроза нарушения целостности ПДн;
- угроза нарушения конфиденциальности <*> (неправомерное
использование) ПДн, в том числе за счет хищения отчуждаемых машинных
носителей с несанкционированно копированной информацией.
--------------------------------
<*> Конфиденциальность ПДн - обязательное для соблюдения
оператором или иным получившим доступ к ПДн лицом требование не
допускать их распространения без согласия субъекта ПДн или иного
законного основания (пункт 10 статьи 3 Федерального закона "О
персональных данных"). Обеспечение конфиденциальности ПДн не требуется
в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2
статьи 7 Федерального закона "О персональных данных").
5.2. Отраслевая модель угроз содержит систематизированный
перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн,
источников актуальных угроз безопасности ПДн, уровней реализации угроз
безопасности ПДн, типов материальных объектов среды обработки ПДн
(далее - актуальные угрозы безопасности ПДн).
Актуальная угроза безопасности ПДн - угроза безопасности ПДн,
риск реализации которой не является допустимым для организации БС РФ
по результатам проведения оценки рисков нарушения безопасности
персональных данных, обрабатываемых в ИСПДн.
5.3. Отраслевая модель угроз содержит единые исходные данные по
актуальным для организации БС РФ угрозам безопасности ПДн, связанным с
несанкционированным, в том числе случайным, доступом в ИСПДн с целью
ознакомления, изменения, копирования, неправомерного распространения
ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в
них ПДн с целью уничтожения или блокирования ПДн.
В рамках настоящей Отраслевой модели угроз под доступом к ПДн
понимаются ознакомление с ПДн, их обработка, в частности, копирование,
модификация или уничтожение ПДн (в соответствии с Руководящим
документом "Защита от несанкционированного доступа к информации.
Термины и определения", Гостехкомиссия России. М.: Воениздат, 1992).
К несанкционированному доступу (НСД) к ПДн при их обработке в
ИСПДн, в частности, относятся:
доступ к ПДн или действия с ПДн, нарушающие установленные права и
(или) правила разграничения доступа с использованием штатных средств,
предоставляемых ИСПДн;
несанкционированное воздействие на ресурсы ИСПДн, осуществляемое
с использованием вредоносных программ (вредоносного кода).
|
Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ РС БР ИББС-2.4-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИН".