Оценка опасности угроз безопасности персональных данных применяется для определения актуальности угроз безопасности персональных данных согласно Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСТЭК России, 2008 год.
Для оценки опасности угроз безопасности персональных данных в информационной системе персональных данных (ИСПДн) используется подход, зафиксированный в Национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности", которая может быть определена по формуле.
R = Pc∙Ic + Pi∙Ii + Pa∙Ia,
где R - оценка опасности угрозы безопасности персональных данных;
Pc, Pi, Pa - вероятности нарушения конфиденциальности, целостности и доступности персональных данных;
Ic, Ii, Ia - оценка возможного вреда, возникающего при нарушении конфиденциальности, целостности и доступности персональных данных.
Оценка возможного вреда субъекту персональных данных в ИСПДн при нарушении безопасности персональных данных принимает следующие значения: Ic = 2; Ii = 1; Ia =1.
Оценка опасности угрозы безопасности персональных данных с учетом принятых значений принимает следующий вид:
R = 2∙Pc + Pi + Pa.
По значению коэффициента опасности угрозы R формируется вербальная интерпретация опасности угрозы следующим образом:
- если 0 ≤ R ≤ 2, то опасность угрозы признается низкой и может привести к незначительным негативным последствиям для субъектов персональных данных;
- если 2 < R ≤ 3, то опасность угрозы признается средней и может привести к негативным последствиям для субъектов персональных данных;
- если R > 3, то опасность угрозы признается высокой и может привести к значительным негативным последствиям для субъектов персональных данных.