11 лет защищаем компании от рисков
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Заказать звонок
Центр безопасности данных
Услуги и решения
  • Персональные данные
  • Конфиденциальная информация
  • Защищенные приложения
  • Средства защиты информации
  • General Data Protection Regulation
  • Консалтинг и обучение
Каталог СЗИ
  • Защита серверов и рабочих станций
    Защита серверов и рабочих станций
    • Защита информации от НСД
    • Средства доверенной загрузки
  • Сетевая безопасность
    Сетевая безопасность
    • Межсетевое экранирование
Информация
  • Ликбез по персональным данным
  • Штрафы за нарушения
  • Статьи и публикации
  • Вопросы и ответы
  • Новости о ПДн
  • Законодательство
Компания
  • О компании
  • История
  • Лицензии и сертификаты
  • Клиенты
  • Партнеры
  • Вакансии
Контакты
    Услуги по приведению в соответствие требованиям закона о персональных данных
    Центр безопасности данных
    Услуги и решения
    • Персональные данные
    • Конфиденциальная информация
    • Защищенные приложения
    • Средства защиты информации
    • General Data Protection Regulation
    • Консалтинг и обучение
    Каталог СЗИ
    • Защита серверов и рабочих станций
      Защита серверов и рабочих станций
      • Защита информации от НСД
      • Средства доверенной загрузки
    • Сетевая безопасность
      Сетевая безопасность
      • Межсетевое экранирование
    Информация
    • Ликбез по персональным данным
    • Штрафы за нарушения
    • Статьи и публикации
    • Вопросы и ответы
    • Новости о ПДн
    • Законодательство
    Компания
    • О компании
    • История
    • Лицензии и сертификаты
    • Клиенты
    • Партнеры
    • Вакансии
    Контакты
      Центр безопасности данных
      Телефоны
      +7 800 350-11-52
      +7 495 108-71-52
      Заказать звонок
      • Услуги и решения
        • Назад
        • Услуги и решения
        • Персональные данные
        • Конфиденциальная информация
        • Защищенные приложения
        • Средства защиты информации
        • General Data Protection Regulation
        • Консалтинг и обучение
      • Каталог СЗИ
        • Назад
        • Каталог СЗИ
        • Защита серверов и рабочих станций
          • Назад
          • Защита серверов и рабочих станций
          • Защита информации от НСД
          • Средства доверенной загрузки
        • Сетевая безопасность
          • Назад
          • Сетевая безопасность
          • Межсетевое экранирование
      • Информация
        • Назад
        • Информация
        • Ликбез по персональным данным
        • Штрафы за нарушения
        • Статьи и публикации
        • Вопросы и ответы
        • Новости о ПДн
        • Законодательство
      • Компания
        • Назад
        • Компания
        • О компании
        • История
        • Лицензии и сертификаты
        • Клиенты
        • Партнеры
        • Вакансии
      • Контакты
      • +7 800 350-11-52
        • Назад
        • Телефоны
        • +7 800 350-11-52
        • +7 495 108-71-52
        • Заказать звонок
      info@data-sec.ru
      info@data-sec.ru
      • Главная
      • Ликбез
      • Актуальные угрозы безопасности персональных данных

      Актуальные угрозы безопасности персональных данных

      Актуальные угрозы безопасности персональных данных

      К приоритетным задачам при создании или оптимизации работы существующей компании в любой сфере относится внедрение средств информационной защиты для профилактики и оперативного реагирования на попытки несанкционированного доступа к личной информации граждан. Процесс построения СЗПДн трудоемкий и длительный, а результат напрямую зависит от того, насколько адекватно определены актуальные угрозы безопасности ПДн. Если преувеличить риск НСД, то придется вкладывать значительно больше средств в систему защиты нежели требуется. Если не учесть какой-то момент, то конфиденциальные сведения могут попасть в руки злоумышленников, а контролирующие органы выставить внушительные штрафы.

      Под УБПДн понимается комбинация условий и факторов влияния, способных привести к тому, что неуполномоченные лица смогут использовать персональные сведения граждан: удалять, копировать, распространять, корректировать или совершать другие неправомерные операции (в том числе случайно). ФЗ-152 указывает на необходимость выявления рисков, но не ограничивает операторов в выборе того, кто будет этим заниматься. Можно привлечь к процессу сотрудников СБ предприятия либо довериться сторонним экспертам, например, обратиться в наш центр. Аутсорсинг в данном вопросе предпочтительнее по нескольким причинам:

      • нет личной заинтересованности проверяющих;
      • гарантирована проверка всех существующих типов угроз согласно действующим нормативно-правовым нормам;
      • отсутствует риск нарушений текущих процессов из-за занятости штатного персонала;
      • вы быстро получаете объективную оценку ситуации, соответственно, можете приступить к определению уровня защищенности ИСПДн и интеграции эффективных мер защиты и профилактики.

      Существующие типы актуальных угроз безопасности ПДн

      1. 1 тип — предполагают наличие недокументированных возможностей (функций) применяемого предприятием системного ПО.
      2. 2 тип — включает УБПДн, обусловленные НДВ прикладного софта, то есть программами, которыми пользуются сотрудники и/или клиенты для выполнения конкретных задач.
      3. 3 тип — комбинация факторов, не связанных с функционалом системного и прикладного программного обеспечения, задействованного в конкретной информационной системе ПДн.

      Наиболее высокими являются риски при первом типе УБПДн, а наименьшими — при третьем. Рассматривая понятие актуальных угроз безопасности персональных данных, отметим, что к ним относятся только те, которые могут быть реализованы в конкретной системе и несут опасность для владельцев. Что касается НДВ, то это возможности ПО и оборудования, о которых разработчик/производитель не упомянул в документации, но при определенных обстоятельствах они могут позволить неправомерно пользоваться конфиденциальными сведениями. Преимущественно дополнительные свойства предусматриваются сознательно, чтобы в будущем расширять функционал. Также имеют место неучтенные создателями факторы.

      Важный момент! К категории НДВ не относятся возможности системы, о которых не знает конечный потребитель, но которые отображены в официальных сервисных документах.

      Что может входить в перечень актуальных угроз безопасности персональных данных?

      Не существует идентичных ИС, поскольку они адаптированы под конкретные цели и специфику деятельности предприятия, типы и количество субъектов и множество других факторов. Актуальные угрозы ИСПДн могут существенно отличаться для сведений, которые обрабатываются в:

      • автоматизированных рабочих местах, подключенных к международным и общим сетям;
      • АРМ без подсоединения к внешним сетям;
      • локальных ИС, которые подключены либо не подключены к сетям международного и/или общего пользования;
      • распределительных ИСПДн, которые предполагают либо не предполагают обмен сведениями через внешние сети.

      Типичными можно назвать угрозы:

      • утечки данных по техническим каналам (речь идет о рисках, касающихся видовой, акустической и полученной через канал ПЭМИН информации);
      • НСД, обусловленные действиями внутренних и внешних нарушителей;
      • несанкционированного доступа к сведениям, обрабатываемым на АРМ, включая интеграцию сетевого вредоносного софта, запуска утилит в удаленном режиме, выявления паролей и перехвата трафика.

      Показатели, влияющие на определение угроз ИСПДн

      Анализ производится на основании двух параметров: частоты реализации и исходного уровня защищенности рассматриваемой системы. Фактически на данном этапе задача стоит в том, чтобы понять, насколько хорошо защищена система с учетом потенциальных УБ и какова вероятность реализации в ней каждой из угроз.

      Расчет первого показателя требует вычисления процентного соотношения каждого из уровней по существующим для ИСПДн характеристикам:

      • территориальному расположению;
      • наличию подключения к сетям общего пользования;
      • интегрированным операциям с записями баз конфиденциальных данных;
      • степени разграничения доступа к информации;
      • наличию соединения с другими базами личных сведений иных информационных систем;
      • уровню обезличивания;
      • предоставляемому третьим лица объему ПДн без выполнения обработки на предварительном этапе;
      • количеству принимаемых решений.

      Определение факторов и условий НСД к ПДн

      Чтобы понять, какие угрозы являются актуальными для конкретной информационной системы, применяется специальная методика, разработанная экспертами ФСТЭК Российской Федерации. Она предполагает выполнение следующих действий:

      1. Определение уровня изначальной защищенности.
      2. Установление вероятности реализации той или иной УБПДн с вычислением соответствующего коэффициента.
      3. Оценка всех возможных рисков для анализируемой ИСПДн.
      4. Выявление степени актуальности каждой из угроз с учетом модели нарушителя и модели УБ персональных данных, исходной защищенности и экспертной оценки вероятности угроз.

      Теги
      угрозы
      • Prev
      • Next
      Другие статьи Ликбеза
      • Что такое персональные данные?
        Что такое персональные данные?
      • Виды персональных данных
        Виды персональных данных
      • Зачем защищать персональные данные?
        Зачем защищать персональные данные?
      • Штрафы в области персональных данных в 2023 году
        Штрафы в области персональных данных в 2023 году
      • Как защищать персональные данные?
        Как защищать персональные данные?
      • Автоматизированная и неавтоматизированная обработка персональных данных
        Автоматизированная и неавтоматизированная обработка персональных данных
      • Обработка персональных данных без использования средств автоматизации
        Обработка персональных данных без использования средств автоматизации
      • Обработка персональных данных с использованием средств автоматизации
        Обработка персональных данных с использованием средств автоматизации
      • Угрозы безопасности персональных данных
        Угрозы безопасности персональных данных
      • Типы угроз персональных данных
        Типы угроз персональных данных
      • Методика определения актуальных угроз безопасности персональных данных
        Методика определения актуальных угроз безопасности персональных данных
      • Банк данных угроз безопасности информации
        Банк данных угроз безопасности информации
      • Модель угроз безопасности персональных данных
        Модель угроз безопасности персональных данных
      • Классификация информационных систем персональных данных (отменена)
        Классификация информационных систем персональных данных (отменена)
      • Информационная система типовая или специальная?
        Информационная система типовая или специальная?
      • Уведомление Роскомнадзора об обработке персональных данных
        Уведомление Роскомнадзора об обработке персональных данных
      • Образец уведомления об обработке персональных данных
        Образец уведомления об обработке персональных данных
      • Уведомление об изменении данных в Роскомнадзор
        Уведомление об изменении данных в Роскомнадзор
      • Уведомление о прекращении обработки персональных данных
        Уведомление о прекращении обработки персональных данных
      • Аттестация информационных систем персональных данных
        Аттестация информационных систем персональных данных

      Услуги
      Индивидуальный проект
      Индивидуальный проект
      Индивидуальный проект включает разработку и внедрение защищенной системы обработки персональных данных с учетом особенностей вашей организации
      Разработка документации
      Разработка документации
      Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Ликбез по персональным данным
      • Штрафы за нарушения
      • Статьи и публикации
      • Вопросы и ответы
      • Новости о ПДн
      • Законодательство
      Приведение в соответствие 152-ФЗ
      Всегда рядом
      Всегда рядом Оказываем услуги дистанционно на всей территории России
      Цены сбалансированы
      Цены сбалансированы Индивидуальный подход при формировании стоимости работ
      Привлекательные сроки
      Привлекательные сроки Приведение обработки ПДн в соответствие 152-ФЗ – от 10 рабочих дней
      Огромный опыт
      Огромный опыт На рынке защиты персональных данных с 2011 года
      Компания
      О компании
      История
      Лицензии и сертификаты
      Клиенты
      Партнеры
      Вакансии
      Контактная информация
      Услуги
      Персональные данные
      Конфиденциальная информация
      Защищенные приложения
      Средства защиты информации
      General Data Protection Regulation
      Консалтинг и обучение
      Стоимость услуг
      Информация
      Ликбез по персональным данным
      Штрафы за нарушения
      Статьи и публикации
      Вопросы и ответы
      Новости о ПДн
      Законодательство
      Карта сайта
      Мессенджеры для связи:
      Наши контакты:

      +7 800 350-11-52
      +7 495 108-71-52
      Пн - Пт: с 8:00 до 17:00
      info@data-sec.ru
      Пользовательское соглашение  ⋅  Политика обработки персональных данных  ⋅  Заявление о конфиденциальности  ⋅  Файлы «Cookie»  ⋅  Правила копирования материалов  ⋅  Письмо директору
      © 2011–2023 Центр безопасности данных

      О файлах «Cookie»

      Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на размещение файлов «Cookie»

      Подробнее