Модель угроз безопасности персональных данных

Модель угроз безопасности персональных данных — это документ, определяющий совокупность условий и факторов, создающих опасность несанкционированного доступа к персональным данным, который может повлечь уничтожение, изменение, блокирование, копирование, распространение ПДн или иные неправомерные действия.

Требование разработать модель угроз установлено Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21. Модель угроз является основой для:

• Определения уровня защищённости ПДн — тип актуальных угроз напрямую влияет на УЗ;
• Выбора мер защиты — перечень организационных и технических мер формируется на основании актуальных угроз;
• Проектирования системы защиты — модель угроз входит в обязательный пакет документов;
• Аттестации ИСПДн — без модели угроз аттестация невозможна.

Постановление Правительства РФ № 1119 выделяет три типа угроз. От типа зависит уровень защищённости и весь набор мер — это ключевое решение при разработке модели.

1-й тип — угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном ПО (операционные системы, СУБД). Актуален для организаций, обрабатывающих государственную тайну или использующих несертифицированное системное ПО.

2-й тип — угрозы, связанные с наличием НДВ в прикладном ПО (CRM, 1С, веб-приложения). Актуален для организаций, использующих собственную или заказную разработку без сертификации.

3-й тип — угрозы, не связанные с НДВ. Актуален для большинства коммерческих организаций, использующих лицензионное ПО. В 90% случаев для малого и среднего бизнеса актуален именно 3-й тип.

Модель угроз обязана быть у каждого оператора ПДн, эксплуатирующего информационную систему персональных данных (ИСПДн). Это касается:

• Коммерческих организаций — ООО, АО, ИП, имеющих CRM, 1С, сайт с базой клиентов;
• Государственных и муниципальных органов — обязательна по приказам ФСТЭК;
• Образовательных и медицинских учреждений — обрабатывают специальные категории ПДн;
• Банков и финансовых организаций — повышенные требования ЦБ РФ;
• Салонов красоты, интернет-магазинов, клиник — любой бизнес с базой клиентов.

На практике модель угроз запрашивается при проверках Роскомнадзора и ФСТЭК, а также может потребоваться при получении лицензий (ФСТЭК, ФСБ) и прохождении аттестации ИСПДн. Проверьте готовность вашего сайта к проверке с помощью бесплатного аудита.

Шаг 1. Инвентаризация. Опишите ИСПДн: какие данные, где хранятся, кто имеет доступ, какое ПО используется.

Шаг 2. Определите нарушителей. Кто может атаковать: внешний хакер, недобросовестный сотрудник, подрядчик с доступом к серверу? Оцените возможности каждого.

Шаг 3. Откройте БДУ ФСТЭК (bdu.fstec.ru). Выберите угрозы, релевантные вашей инфраструктуре. Для типовой ИСПДн малого бизнеса обычно актуальны 10–20 из 220+ угроз.

Шаг 4. Оцените вероятность каждой угрозы: низкая, средняя, высокая. Учитывайте наличие средств защиты, архитектуру сети, квалификацию персонала.

Шаг 5. Определите актуальность. Угроза актуальна, если вероятность средняя или высокая И потенциальный ущерб значителен.

Шаг 6. Определите тип угроз (1-й, 2-й, 3-й по ПП 1119). Для большинства — 3-й тип.

Шаг 7. Составьте итоговую таблицу и утвердите документ у руководителя.

Модель угроз — не изолированный документ. Она встраивается в систему документации по 152-ФЗ:

1. Модель угроз → Акт определения УЗ. Тип угроз из модели — входной параметр для расчёта уровня защищённости по ПП 1119.

2. Модель угроз → Техническое задание на СЗИ. Актуальные угрозы определяют, какие средства защиты нужны (антивирус, МЭ, DLP, SIEM).

3. Модель угроз → Положение об обработке ПДн. Организационные меры из модели угроз отражаются в положении.

4. Модель угроз → Аудит ПДн. При внутреннем аудите модель угроз пересматривается на актуальность.

Все эти документы можно создать в конструкторе Кибероснова — данные из одного документа автоматически подтягиваются в связанные.