Під актуальних погроз розуміються умови і чинники, що створюють небезпеку несанкціонованого доступу до персональних даних (в тому числі випадкового), в результаті якого дані можуть бути знищені, змінені, блоковані, і скопіюйте таким чином, надані або поширені.
Загрози 1-го типу - загрози, пов'язані з наявністю недокументованих можливостей у використовуваному системному програмному забезпеченні.
Загрози 2-го типу - актуальні загрози, пов'язані з наявністю недокументованих можливостей у використовуваному прикладному програмному забезпеченні.
Загрози 3-го типу - актуальні загрози, які пов'язані з наявністю недокументованих можливостей у використовуваному системному і прикладному програмному забезпеченні.
При обробці персональних даних в інформаційних системах встановлюються 4 рівня захищеності.
Для забезпечення 4-го рівня захищеності персональних даних при їх обробці в інформаційних системах необхідно виконання наступних вимог:
- організація режиму забезпечення безпеки приміщень, в яких розміщена інформаційна система, що перешкоджає можливості неконтрольованого проникнення або перебування в цих приміщеннях осіб, які не мають права доступу до цих приміщень;
- забезпечення схоронності носіїв персональних даних;
- твердження керівником оператора документа, що визначає перелік осіб, доступ яких до персональних даних, оброблюваних в інформаційній системі, необхідний для виконання ними службових (трудових) обов'язків;
- використання засобів захисту інформації, які пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації в області забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідно для нейтралізації актуальних загроз.
Для забезпечення 3-го рівня захищеності персональних даних при їх обробці в інформаційних системах крім виконання вимог, передбачених для 4-го рівня захищеності необхідно, щоб було призначено посадову особу (працівник), відповідальний за забезпечення безпеки персональних даних в інформаційній системі.
Для забезпечення 2-го рівня захищеності персональних даних при їх обробці в інформаційних системах крім виконання вимог, передбачених для 3-ого рівня захищеності, необхідно, щоб доступ до змісту електронного журналу повідомлень був можливий виключно для посадових осіб (працівників) оператора або уповноваженої особи, яким відомості, що містяться в зазначеному журналі, необхідні для виконання службових (трудових) обов'язків.
Для забезпечення 1-го рівня захищеності персональних даних при їх обробці в інформаційних системах крім вимог, передбачених 2-ої рівня захищеності, необхідно виконання наступних вимог:
- автоматична реєстрація в електронному журналі безпеки зміни повноважень співробітника оператора з доступу до персональних даних;
- створення структурного підрозділу, відповідального за забезпечення безпеки персональних даних в інформаційній системі, або покладання на один із структурних підрозділів функцій щодо забезпечення такої безпеки.
Співвідношення типу загроз / рівня захищеності / і типу оброблюваної інформації