Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Защита персональных данных Определение типа угроз

Определение типа угроз

Операции с документом
Вверх к Защита персональных данных

Определение типа угроз

Послано Ilmir в 8.Май.2019 12:28

Добрый день!

Проконсультируйте пожалуйста по такому вопросу:

При подготовке Акта по определению УЗ, столкнулись с п.7 ПП 1119, где сказано следующее: "Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1". 

Раньше, определяя тип угроз, коллегиально с представителями заказчиков принимали решение, какой тип угроз считать актуальными, исходя из перечня установленного системного и прикладного ПО, без произведения оценки возможного вреда. Сейчас же поступили замечания к актам, со ссылкой на п.7 ПП 1119.

Подскажите пожалуйста, никаких комментариев  и методик по оценке вреда нет, каким образом применять данный пункт?

Re: Определение типа угроз

Послано Александр Астахов в 8.Май.2019 17:02

При оценке вреда сейчас, насколько мне известно, в отсутствии национальных стандартов или нормативных документов по оценке вреда, операторы поступают двумя способами:

  1. По старинке. Определяют степень вреда путем "опроса экспертов" как это указано в методике определения актуальных угроз ФСТЭК "При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн". Опасность и вред - это одно и то же.
  2. Для более продвинутых. Самостоятельно разрабатывают методику определения вреда, в которой вводят соответствующие критерии , коэффициенты и т.п. И вводят эту методику приказом по организации.

Re: Определение типа угроз

Послано Ilmir в Понедельник 06:54
Предыдущий Александр Астахов писал:

При оценке вреда сейчас, насколько мне известно, в отсутствии национальных стандартов или нормативных документов по оценке вреда, операторы поступают двумя способами:

  1. По старинке. Определяют степень вреда путем "опроса экспертов" как это указано в методике определения актуальных угроз ФСТЭК "При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн". Опасность и вред - это одно и то же.
  2. Для более продвинутых. Самостоятельно разрабатывают методику определения вреда, в которой вводят соответствующие критерии , коэффициенты и т.п. И вводят эту методику приказом по организации.
А каким образом степень вреда привязывается к типу угроз в таком случае?

Re: Определение типа угроз

Послано Александр Астахов в Понедельник 15:24

Определение типа актуальных угроз производится с учетом оценки возможного вреда. Общий подход может быть следующим.

Возможный вред оценивается экспертным методом с использованием той или иной табличной методики, в которой рассматриваются последствия реализации угроз (например, использование ПДн в криминальных целях, публикация в СМИ и т.п.) Для каждого сценария компрометации ПДн (последствия) по качественной шкале оценивается степень вреда для субъекта (ущерба). Т.о. для каждого типа актуальной угрозы получают оценку суммарного (или среднего) вреда.

Помимо оценки вреда при определении типа актуальных угроз учитываются также характеристики (показатели) системного и прикладного ПО, такие как лицензированность, сертифицированность, серийность и пр. 

Объединяя показатель ПО и степень вреда получают оценку угрозы. Если эта оценка превышает некий установленный уровень для данного типа угрозы, то данный тип угрозы признается актуальным.

Re: Определение типа угроз

Послано Ilmir в Среда 13:42
Предыдущий Александр Астахов писал:

Определение типа актуальных угроз производится с учетом оценки возможного вреда. Общий подход может быть следующим.

Возможный вред оценивается экспертным методом с использованием той или иной табличной методики, в которой рассматриваются последствия реализации угроз (например, использование ПДн в криминальных целях, публикация в СМИ и т.п.) Для каждого сценария компрометации ПДн (последствия) по качественной шкале оценивается степень вреда для субъекта (ущерба). Т.о. для каждого типа актуальной угрозы получают оценку суммарного (или среднего) вреда.

Помимо оценки вреда при определении типа актуальных угроз учитываются также характеристики (показатели) системного и прикладного ПО, такие как лицензированность, сертифицированность, серийность и пр. 

Объединяя показатель ПО и степень вреда получают оценку угрозы. Если эта оценка превышает некий установленный уровень для данного типа угрозы, то данный тип угрозы признается актуальным.

Спасибо за разъяснения!
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex