СЗПДн. Проектирование. Методы и способы защиты ПДн 2

В предыдущем сообщения я рассмотрел варианты документов, в которым может быть документирован выбор методов и способов защиты ПДн. Как выбрать необходимые методы и способы защиты ПДн в нормативных документах РФ по ПДн не определено.

Зато в такой ситуации нам ничего не мешает использовать международные стандарты. По сути выбор методов и способов защиты ПДн является менеджментом рисков связанных с актуальными угрозами ПДн которые обыли определены в МУ. Можно руководствоваться например ISO/IEC 27005:2008 и для каждой угрозы определить:

· Применяемые в данный момент методы и способы защиты ПДн (контроли) которые связанны с данной угрозой.

· Методы и способы защиты ПДн (контроли), которых достаточно для нейтрализации данной угрозы.

Например, рассмотрим угрозу «Внедрение вредоносных программ по сети». Пусть в Организации применяются только средства антивирусной защиты, не прошедшие процедуру оценки соответствия; других методов и способов защиты не применяется. Например, можно считать, что необходимыми и достаточными методами и способами защиты ПДн для нейтрализации данной грозы являются:

· Анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;

· Использование средств антивирусной защиты, прошедших в установленном порядке процедуру оценки соответствия;

· Использование средств обнаружения вторжений, прошедших в установленном порядке процедуру оценки соответствия.

В соответствии с моделью угроз мы определяем, что данная угроза актуальна Организации и необходимо применять приведенные выше методы и способы защиты ПДн.

Схожий алгоритм выбора методов и способов защиты ПДн так-же определен в разделе 5.5 документа СТО НАПФ 4.2–2010. В приложение Б к СТО НАПФ 4.2–2010 для каждой угрозы определен перечень возможных мер защиты, которые могут использованы для нейтрализации актуальных угроз.