Низкая опасность - неактуальная угроза персональных данных


Низкая опасность - неактуальная угроза персональных данных, является одним из правил отнесения угрозы безопасности персональных данных к актуальным.

Правила отнесения угрозы безопасности персональных данных (ПДн) к актуальным определены в Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России, 14.02.2008г.

Основные правила отнесения угрозы безопасности ПДн к актуальным:
  1. Если Возможность реализации угрозы (Y) <Низкая> и Показатель опасности угрозы <Низкая>, то Угроза безопасности ПДн <Неактуальная>;
  2. Если Возможность реализации угрозы (Y) <Низкая> и Показатель опасности угрозы <Средняя>, то Угроза безопасности ПДн <Неактуальная>;
  3. Если Возможность реализации угрозы (Y) <Средняя> и Показатель опасности угрозы <Низкая>, то Угроза безопасности ПДн <Неактуальная>;
  4. Если Не выполняются условия <п.1-3>, то Угроза безопасности ПДн <Актуальная>.
Возможность реализации угрозы (Y) формируется из вербальной интерпретации значения коэффициента:
  • Если 0 ≤ Y≤ 0,3, то Возможность реализации угрозы (Y) <Низкая>;
  • Если 0,3 < Y ≤ 0,6, то Возможность реализации угрозы (Y) <Средняя>;
  • Если 0,6 < Y ≤ 0,8, то Возможность реализации угрозы (Y) <Высокая>;
  • Если Y > 0,8, то Возможность реализации угрозы (Y) <Очень высокая>,
Где Y₁ - Уровень исходной степени защищенности информационной системы персональных данных (ИСПДн), Y₂ - частота (вероятность) реализации конкретной угрозы безопасности ПДн. Коэффициент Возможности реализации угрозы вычисляется по формуле:
Y = (Y₁ + Y₂)/20.

Показатель опасности угрозы - это вербальный показатель для каждой угрозы, который  на основе опроса экспертов (специалистов в области защиты информации) проводится оценка безопасности ПДн. Этот показатель принимает три значения:
  1. <Низкая> опасность - если реализации угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
  2. <Средняя> опасность - если реализации угрозы может привести к негативным последствиям для субъектов персональных данных;
  3. <Высокая> опасность - если реализации угрозы может привести к значительным негативным последствиям для субъектов персональных данных.