Низкая опасность - неактуальная угроза персональных данных, является одним из правил отнесения угрозы безопасности персональных данных к актуальным.
Правила отнесения угрозы безопасности персональных данных (ПДн) к актуальным определены в Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России, 14.02.2008г.
Основные правила отнесения угрозы безопасности ПДн к актуальным:
- Если Возможность реализации угрозы (Y) <Низкая> и Показатель опасности угрозы <Низкая>, то Угроза безопасности ПДн <Неактуальная>;
- Если Возможность реализации угрозы (Y) <Низкая> и Показатель опасности угрозы <Средняя>, то Угроза безопасности ПДн <Неактуальная>;
- Если Возможность реализации угрозы (Y) <Средняя> и Показатель опасности угрозы <Низкая>, то Угроза безопасности ПДн <Неактуальная>;
- Если Не выполняются условия <п.1-3>, то Угроза безопасности ПДн <Актуальная>.
Возможность реализации угрозы (Y) формируется из вербальной интерпретации значения коэффициента:
- Если 0 ≤ Y≤ 0,3, то Возможность реализации угрозы (Y) <Низкая>;
- Если 0,3 < Y ≤ 0,6, то Возможность реализации угрозы (Y) <Средняя>;
- Если 0,6 < Y ≤ 0,8, то Возможность реализации угрозы (Y) <Высокая>;
- Если Y > 0,8, то Возможность реализации угрозы (Y) <Очень высокая>,
Где Y₁ - Уровень исходной степени защищенности информационной системы персональных данных (ИСПДн), Y₂ - частота (вероятность) реализации конкретной угрозы безопасности ПДн. Коэффициент Возможности реализации угрозы вычисляется по формуле:
Y = (Y₁ + Y₂)/20.
Показатель опасности угрозы - это вербальный показатель для каждой угрозы, который на основе опроса экспертов (специалистов в области защиты информации) проводится оценка безопасности ПДн. Этот показатель принимает три значения:
- <Низкая> опасность - если реализации угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
- <Средняя> опасность - если реализации угрозы может привести к негативным последствиям для субъектов персональных данных;
- <Высокая> опасность - если реализации угрозы может привести к значительным негативным последствиям для субъектов персональных данных.