Sub amenințări reale a însemnat condițiile și factorii care creează un risc de acces neautorizat la datele cu caracter personal (inclusiv aleatoare), în care datele pot fi distruse, modificate, blocate, copiate, distribuite sau puse la dispoziție.
Amenințările de tip 1 reprezintă amenințări legate de prezența capacităților nedocumentate în software-ul sistemului utilizat.
Amenințările de tipul celui de-al doilea sunt amenințări reale legate de prezența unor caracteristici nedocumentate în aplicația software aplicată.
Amenințările de tipul al treilea sunt amenințări reale, care nu au legătură cu prezența unor capacități nedocumentate în sistemul și software-ul aplicației utilizate.
La prelucrarea datelor cu caracter personal în sistemele informatice se stabilesc 4 nivele de securitate.
Pentru asigurarea celui de-al patrulea nivel de protecție a datelor cu caracter personal în procesarea acestora în sistemele informatice, trebuie îndeplinite următoarele cerințe:
- organizarea unui regim de securitate pentru spațiile în care este amplasat un sistem de informații care împiedică intrarea sau șederea necontrolată în aceste spații a persoanelor care nu au dreptul de a accesa aceste spații;
- asigurarea siguranței purtătorilor de date cu caracter personal;
- aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor care au acces la datele cu caracter personal prelucrate în sistemul de informații necesare pentru îndeplinirea atribuțiilor lor oficiale;
- utilizarea instrumentelor de protecție a informațiilor care au trecut procedura de evaluare a respectării cerințelor legislației Federației Ruse în domeniul securității informaționale, în cazul în care utilizarea acestor mijloace este necesară pentru a neutraliza amenințările actuale.
Pentru a asigura al treilea nivel de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informatice, în plus față de cerințele prevăzute pentru al patrulea nivel de protecție, este necesar să fi fost repartizat un funcționar (angajat) este responsabil pentru asigurarea securității datelor cu caracter personal în sistemul de informații.
Pentru a asigura nivelul 2 de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informatice, în plus față de cerințele prevăzute pentru nivelul 3 al securității, este necesar pentru a accesa conținutul jurnalizarea mesaj electronic a fost posibilă numai pentru funcționari (angajați) ai operatorului sau persoana autorizată, căruia informațiile din această revistă sunt necesare pentru îndeplinirea sarcinilor oficiale (de muncă).
Pentru a asigura primul nivel de protecție a datelor cu caracter personal atunci când sunt procesate în sistemele informatice, pe lângă cerințele pentru nivelul 2 de securitate, trebuie îndeplinite următoarele cerințe:
- înregistrarea automată în jurnalul de securitate electronică a modificării autorității angajatului operatorului pentru accesul la datele cu caracter personal;
- crearea unei unități structurale responsabile de asigurarea securității datelor personale în sistemul informatic sau atribuirea uneia dintre unitățile structurale a funcțiilor pentru a asigura această securitate.
Relația dintre tipul de amenințare / nivelul de securitate / și tipul de informații prelucrate