e. Разработка частной модели угроз (пункт 7 программы действий)

В соответствии с пунктом 16 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", для специальных информационных систем персональных данных должна быть разработана модель угроз безопасности персональных данных.

В качестве модели угроз безопасности персональных данных при их обработке в ИСПДн организация БС РФ может использовать Отраслевую модель угроз, содержащую актуальные угрозы безопасности персональных данных при обработке в ИСПДн организаций БС РФ (применительно к большинству организаций БС РФ) и согласованную с Регуляторами.

В случае необходимости, в организации БС РФ может быть составлена частная модель угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее - частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ.

В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз используются рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности.