Обязательность документа "Модель угроз" для защиты ПДн

Запрос

!!! Прошу дать разъяснение по вопросам разработки документов для информационных систем персональных данных (далее – ИСПДн), а именно: Согласно п. 2 ст. 19 ФЗ-152 необходимо определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных. Согласно Приказу ФСТЭК №21 от 10.02.2013. г меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных. Но явно не указано, в соответствие с чем необходимо провести оценку угроз безопасности для коммерческой организаций. В связи с чем прошу пояснить:

  1. Обязательно ли для защиты персональных данных в коммерческих организациях наличие документа «Модель угроз безопасности информации»?
  2. Обязательно ли документ «Модель угроз безопасности информации» для ИСПДн должен быть разработан согласно методическому документу «Методика оценки угроз безопасности информации» от 05.02.2021 г.?"

!!!

Кратко

Обязательно ли для защиты персональных данных наличие документа «Модель угроз безопасности информации»?
Обязательно ли документ должен быть разработан согласно методическому документу «Методика оценки угроз безопасности информации» от 05.02.2021 г.?

Резюме от Б-152

Разработка МУ необязательна, но если оператор принимает решение о ее необходимости, то рекомендуется пользоваться Методическим документом ФСТЭК.

Если вы все еще сомневаетесь в правильности применения рекомендаций регулятора,

обращайтесь к нам - мы поможем.

Полный текст ответа

Решение о необходимости разработки модели угроз безопасности информации на ИСПДн, а также о соответствии указанного документа принимается оператором ИСПДн. В случае принятия решения о разработке модели угроз безопасности информации на ИСПДн рекомендуется руководствоваться положениями Методики.

Кто формировал ответ

Специалисты управления (по организации ТЗИ и сертификации средств ПДИТР и ТЗИ)

!!! Т.Беляков, Главный специалист-эксперт отдела контроля ФСТЭК России. тел. 8 (495) 696-27-44

!!!

Скан