Модель угроз безопасности ИСПДн и модель нарушителя
Каким из этих документов необходимо руководствоваться при составлении модели угроз безопасности ИСПДн и модели нарушителя?
«Методики определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных», утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;
или
"МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ" (ПРОЕКТ) ФСТЭК
«Методики определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных», утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;
или
"МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ" (ПРОЕКТ) ФСТЭК
На данный момент в информационном сообщении ФСТЭК от 15 июля 2013 г. N 240/22/2637,
в п.9 регулятор явно, что "...Определение типов угроз безопасности ПДн осуществляется оператором в соответствии с п. 7 ПП. № 1119 ".
Собственно сам п.7 ПП 1119 -
7. Определение типа угроз безопасности ПДн, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 ФЗ "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 ФЗ "О персональных данных".
Это касаемо ИСПДн.
Если речь о ГИС, то в п. 14.3 приказа №17 ФСТЭК чётко прописано:
"В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru)",
"Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России"