Вы точно слышали, что для защиты данных в ИСПДн оператор должен разрабатывать модель угроз безопасности ПДн 👤
п.1 ч.2 ст. 19 152-ФЗ говорит об этом явно:
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных
И ФСТЭК России издал в 2021 году Методику оценки угроз безопасности, на основании которой можно моделировать угрозы безопасности ПДн в ИСПДн.
Но знали ли вы, что можно моделировать угрозы безопасности в ИСПДн не только по методике ФСТЭК❔
Ответ, полученный от ФСТЭК в этом году, говорит нам, что:
➡️Вообще оператор сам решает делать модель угроз на ИСПДн или нет (нуууу, тут конечно, опустим, так как в 152-ФЗ иное положение);
➡️Что оператор может и не на основании Методики ФСТЭК определять угрозы.
Поэтому мы как операторы сами решаем, как моделировать угрозы, но однозначно, что моделировать их все же должны ☑️
При этом идеально, если вы также учтете результаты ранее проведенных пентестов, расследований инцидентов и сканирований на уязвимости.
ПОЧЕМУ?
Потому, что система защиты информации создается не для регулятора, а для того, чтобы защитить информацию и информационные системы, которые ее обрабатывают.
Подробнее об этих тонкостях при защите информации мы расскажем на нашем курсе Техзащита ПДн для юристов уже 3 ноября 👍
😎
