Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Методический документ ФСТЭК России (2008): классификация и описание угроз безопасности персональных данных в ИСПДн — угрозы утечки по техническим каналам и угрозы несанкционированного доступа, а также категории нарушителей. Служит основой для разработки частной модели угроз; сегодня применяется вместе с Методикой оценки угроз ФСТЭК (2021) и Банком данных угроз (БДУ).
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» — методический документ ФСТЭК России, утверждённый в 2008 году. Он систематизирует угрозы безопасности ПДн и служит основой для разработки оператором частной (собственной) модели угроз конкретной ИСПДн.
Что описывает документ
- Угрозы утечки информации по техническим каналам — за счёт побочных электромагнитных излучений и наводок (ПЭМИН), акустического (речевого) и видового каналов.
- Угрозы несанкционированного доступа (НСД) — с применением программных и программно-аппаратных средств: доступ к носителям и АРМ, внедрение вредоносного программного обеспечения, аппаратные и программные закладки, перехват и подмена в сетях.
- Источники угроз (нарушители) — внешние и внутренние, с разделением по категориям возможностей и мотивации.
- Объекты воздействия — сами персональные данные, технические средства ИСПДн, программное обеспечение, каналы связи и машинные носители.
Актуальный статус и связь с методикой 2021 года
С 2021 года определение актуальных угроз безопасности информации, в том числе при обработке ПДн в ИСПДн, выполняется по Методике оценки угроз безопасности информации ФСТЭК, утверждённой 5 февраля 2021 года, с использованием сведений Банка данных угроз (БДУ) и иных исходных данных. Прежняя «Методика определения актуальных угроз безопасности ПДн...» (2008) с выходом новой методики не применяется. Сама Базовая модель угроз 2008 года может использоваться как справочный материал по типам угроз в части, не противоречащей Методике 2021 года, — до утверждения обновлённой базовой модели.
Как элементы модели угроз соотносятся с реальными угрозами и как сформировать проект модели угроз по методике 2021 года с угрозами из БДУ — разбираем в статьях «Модель угроз ФСТЭК пошагово» и «Модель угроз и реальные угрозы малого бизнеса». Сформировать проект модели угроз для своей ИСПДн можно в сервисе ГрамотаИБ.