Введение. Настоящий документ подготовлен в рамках выполнения работ по построению системы защиты персональных данных (далее – СЗПДн)

Настоящий документ подготовлен в рамках выполнения работ по построению системы защиты персональных данных (далее – СЗПДн), не содержащей сведений, составляющих государственную тайну, информационной системы персональных данных ____________________ (далее -____________________).

Настоящий документ содержит модель угроз безопасности персональных данных для ____________________ (далее – модель угроз).

Разработка модели угроз является необходимым условием формирования обоснованных требований к обеспечению безопасности информации ____________________ и проектирования ____________________.

Модель угроз – документ, использующийся для:

· анализа защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;

· разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;

· проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

· недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;

· контроля обеспечения уровня защищенности персональных данных.

В модели угроз представлено описание структуры ИСПДн, состава и режима обработки ПДн, классификацию потенциальных нарушителей, оценку исходного уровня защищенности, анализ угроз безопасности персональных данных.

Анализ УБПДн включает:

· Описание угроз.

· Оценку вероятности возникновения угроз.

· Оценку реализуемости угроз.

· Оценку опасности угроз.

· Определение актуальности угроз.

Модель угроз для ____________________ разрабатывается в соответствии со следующими нормативными и методологическими документами:

· Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

· Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

· Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781;

· Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный № 11462);

· Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.);

· Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.).

В процессе развития ____________________ предполагается конкретизировать и пересматривать модель угроз для ____________________.

Модель угроз может быть пересмотрена:

по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

При разработке модели угроз для ____________________ учитывается, что ____________________ является специальной информационной системой т.к., к обрабатываемым в ней данным предъявляются требования не только по конфиденциальности, но и по целостности и доступности.