/>
В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, а также следующие термины с соответствующими определениями:
3.1. Источник угрозы безопасности персональных данных: Объект или субъект, реализующий угрозы безопасности персональных данных путем воздействия на объекты среды обработки персональных данных организации БС РФ.
3.2. Объект среды обработки персональных данных: Материальный объект среды хранения, передачи, обработки, уничтожения и т.д. персональных данных.
3.3. Оценка риска нарушения безопасности персональных данных: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения безопасности персональных данных, обрабатываемых в организации БС РФ.
3.4. Риск нарушения безопасности персональных данных <*>: Риск, связанный с угрозой безопасности персональных данных.
--------------------------------
<*> Риски нарушения безопасности персональных данных заключаются в возможности утраты свойств безопасности персональных данных в результате реализации угроз безопасности персональных данных, вследствие чего субъекту персональных данных и (или) организации БС РФ может быть нанесен ущерб.
3.5. Угроза безопасности персональных данных: Угроза нарушения свойств безопасности персональных данных - доступности, целостности или конфиденциальности персональных данных организации БС РФ.
4. Обозначения и сокращения
БС - банковская система;
ИСПДн - информационная система персональных данных;
НСД - несанкционированный доступ;
ПДн - персональные данные;
РФ - Российская Федерация.
5. Общий подход к составлению Отраслевой модели угроз
5.1. Угрозы безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) организаций БС РФ - это:
- угроза нарушения доступности ПДн;
- угроза нарушения целостности ПДн;
- угроза нарушения конфиденциальности <*> (неправомерное использование) ПДн, в том числе за счет хищения отчуждаемых машинных носителей с несанкционированно копированной информацией.
--------------------------------
<*> Конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия субъекта ПДн или иного законного основания (пункт 10 статьи 3 Федерального закона "О персональных данных"). Обеспечение конфиденциальности ПДн не требуется в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2 статьи 7 Федерального закона "О персональных данных").
5.2. Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн (далее - актуальные угрозы безопасности ПДн).
Актуальная угроза безопасности ПДн - угроза безопасности ПДн, риск реализации которой не является допустимым для организации БС РФ по результатам проведения оценки рисков нарушения безопасности персональных данных, обрабатываемых в ИСПДн.
5.3. Отраслевая модель угроз содержит единые исходные данные по актуальным для организации БС РФ угрозам безопасности ПДн, связанным с несанкционированным, в том числе случайным, доступом в ИСПДн с целью ознакомления, изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с целью уничтожения или блокирования ПДн.
В рамках настоящей Отраслевой модели угроз под доступом к ПДн понимаются ознакомление с ПДн, их обработка, в частности, копирование, модификация или уничтожение ПДн (в соответствии с Руководящим документом "Защита от н
> 1 2 3 ... 8 9 10