Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных

6) Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации).

7) Нарушитель может действовать на различных этапах жизненного цикла криптосредства и СФК (под этими этапами в настоящем документе понимаются разработка, производство, хранение, транспортировка, ввод в эксплуатацию, эксплуатация программных и технических средств криптосредства и СФК).

8) Для обеспечения безопасности персональных да'нных при их обработке в информационных системах должны использоваться сертифицированные в системе
сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности
информации) криптосредства.

В случае отсутствия готовых сертифицированных криптосредств, функционально пригодных для обеспечения безопасности персональных данных при их обработке в конкретной информационной системе, на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора и предполагаемого разработчика криптосредства готовится обоснование целесообразности разработки нового типа криптосредства и определяются требования к его функциональным свойствам.

Разработка нового типа криптосредства осуществляется в соответствии с Положением ПКЗ-2005.

Различают модель угроз верхнего уровня и детализированную модель угроз.

Модель угроз угроз верхнего уровня предназначена для определения характеристик безопасности защищаемых персональных данных и других объектов защиты (принципы 2 и 3). Эта модель также определяет исходные данные для детализированной модели угроз.

Детализированная модель угроз предназначена для определения требуемого уровня криптографической защиты.

3.2 Методология формирования модели угроз верхнего уровня

Формирование модели угроз верхнего уровня осуществляется на этапе сбора и анализа исходных данных по информационной системе в соответствии с установленным Порядком.

Для правильного определения криптосредств, необходимых для обеспечения безопасности персональных данных, дополнительно к данному этапу предъявляются следующие требования.

Определение условий создания и использования персональных данных

Должны быть описаны условия создания и использования персональных данных. Для этого определяются: