Спус­тя 14 лет с мо­мен­та при­нятия фе­дераль­но­го за­кона №152-ФЗ от 27 и­юля 2006 г. "О пер­со­наль­ных дан­ных" Мин­цифры под­го­тови­ло под­за­кон­ный акт об оп­ре­деле­нии уг­роз бе­зопас­ности пер­со­наль­ных дан­ных. Ве­домс­тво от­ме­чает, что цель это­го ве­домс­твен­но­го при­каза - ус­та­нов­ле­ние еди­ного под­хо­да к оп­ре­деле­нию уг­роз бе­зопас­ности пер­со­наль­ных дан­ных. Эк­спер­ты счи­тают, что это шаг в вер­ном нап­равле­нии.

Министерство цифрового развития, связи и массовых коммуникаций РФ разработало проект приказа "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности".

Проект приказа определяет актуальные угрозы безопасности персональных данных, а также устанавливает единый подход к определению угроз безопасности персональных данных, актуальных при их обработке в конкретных информационных системах (ИС), и к разработке на их основе частных моделей угроз безопасности персональных данных для этих ИС.

Как отмечено в документе, адаптация актуальных угроз направлена на уточнение (уменьшение) перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в ИС, и осуществляется с учетом их структурно-функциональных характеристик, применяемых информационных технологий и особенностей функционирования (в том числе исключение угроз, которые непосредственно связаны с информационными технологиями, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС).

Принятие проекта приказа дополнительного финансирования из федерального бюджета не потребует.

В пресс-службе Минцифры рассказали, что принятие проекта приказа позволит установить единый подход к определению угроз безопасности персональных данных, актуальных при их обработке в конкретных информационных системах, эксплуатируемых в сферах, регулирование которых осуществляет Минцифры.

"После принятия ведомственного акта содержащийся в нем перечень угроз будет учитываться операторами при разработке частных моделей угроз безопасности персональных данных для конкретных информационных систем путем адаптации в ходе определения актуальных угроз безопасности персональных данных. Принятие соответствующего нормативного правового акта предусмотрено ч.5 ст.19 152-ФЗ от 27.07.2006 "О персональных данных" - в редакции от 25.07.2011 №261-ФЗ", - объяснили в пресс-службе Минцифры.

По словам представителя пресс-службы Минцифры, данный проект приказа разработан для актуализации изданного в 2010 г. Минкомсвязью документа, определяющего угрозы безопасности персональных данных, обрабатываемых в специальных информационных системах персональных данных отрасли. Тот приказ был согласован в установленном порядке с уполномоченными федеральными органами власти и одобрен решением Научно-технического совета Минкомсвязи России.

[...]

Директор департамента информационной безопасности компании Oberon Евгений Суханов подчеркнул, что документ подготовлен для определения модели угроз в информационных системах, за которые отвечает Минцифры РФ. По его словам, ранее использовалась "базовая модель угроз персональных данных в системах персональных данных", утвержденная ФСТЭК России от 15 февраля 2008 г. "Минцифры РФ продолжило обновление модели - это хорошая практика, поскольку угрозы меняются", - считает Евгений Суханов.

"Для формирования организационно-технических мер защиты персональных данных, да и вообще любой информации, традиционно создаются два документа - модель угроз и модель нарушителя. Актуализированная базовая модель нарушителя будет обновлена следующей. Когда законодательная база меняется вместе с развитием отрасли кибербезопасности - это всегда хорошо. Сложно выстраивать современные системы защиты информации, не имея актуальных регулирующих документов под рукой. На мой взгляд, данная инициатива Минцифры РФ поможет бизнесу выстраивать актуальные ИБ-системы с высоким уровнем защищенности от атак", - объяснил Евгений Суханов.

Подробнее в материале