К приоритетным задачам при создании или оптимизации работы существующей компании в любой сфере относится внедрение средств информационной защиты для профилактики и оперативного реагирования на попытки несанкционированного доступа к личной информации граждан. Процесс построения СЗПДн трудоемкий и длительный, а результат напрямую зависит от того, насколько адекватно определены актуальные угрозы безопасности ПДн. Если преувеличить риск НСД, то придется вкладывать значительно больше средств в систему защиты нежели требуется. Если не учесть какой-то момент, то конфиденциальные сведения могут попасть в руки злоумышленников, а контролирующие органы выставить внушительные штрафы.
Под УБПДн понимается комбинация условий и факторов влияния, способных привести к тому, что неуполномоченные лица смогут использовать персональные сведения граждан: удалять, копировать, распространять, корректировать или совершать другие неправомерные операции (в том числе случайно). ФЗ-152 указывает на необходимость выявления рисков, но не ограничивает операторов в выборе того, кто будет этим заниматься. Можно привлечь к процессу сотрудников СБ предприятия либо довериться сторонним экспертам, например, обратиться в наш центр. Аутсорсинг в данном вопросе предпочтительнее по нескольким причинам:
- нет личной заинтересованности проверяющих;
- гарантирована проверка всех существующих типов угроз согласно действующим нормативно-правовым нормам;
- отсутствует риск нарушений текущих процессов из-за занятости штатного персонала;
- вы быстро получаете объективную оценку ситуации, соответственно, можете приступить к определению уровня защищенности ИСПДн и интеграции эффективных мер защиты и профилактики.
Существующие типы актуальных угроз безопасности ПДн
- 1 тип — предполагают наличие недокументированных возможностей (функций) применяемого предприятием системного ПО.
- 2 тип — включает УБПДн, обусловленные НДВ прикладного софта, то есть программами, которыми пользуются сотрудники и/или клиенты для выполнения конкретных задач.
- 3 тип — комбинация факторов, не связанных с функционалом системного и прикладного программного обеспечения, задействованного в конкретной информационной системе ПДн.
Наиболее высокими являются риски при первом типе УБПДн, а наименьшими — при третьем. Рассматривая понятие актуальных угроз безопасности персональных данных, отметим, что к ним относятся только те, которые могут быть реализованы в конкретной системе и несут опасность для владельцев. Что касается НДВ, то это возможности ПО и оборудования, о которых разработчик/производитель не упомянул в документации, но при определенных обстоятельствах они могут позволить неправомерно пользоваться конфиденциальными сведениями. Преимущественно дополнительные свойства предусматриваются сознательно, чтобы в будущем расширять функционал. Также имеют место неучтенные создателями факторы.
Важный момент! К категории НДВ не относятся возможности системы, о которых не знает конечный потребитель, но которые отображены в официальных сервисных документах.
Что может входить в перечень актуальных угроз безопасности персональных данных?
Не существует идентичных ИС, поскольку они адаптированы под конкретные цели и специфику деятельности предприятия, типы и количество субъектов и множество других факторов. Актуальные угрозы ИСПДн могут существенно отличаться для сведений, которые обрабатываются в:
- автоматизированных рабочих местах, подключенных к международным и общим сетям;
- АРМ без подсоединения к внешним сетям;
- локальных ИС, которые подключены либо не подключены к сетям международного и/или общего пользования;
- распределительных ИСПДн, которые предполагают либо не предполагают обмен сведениями через внешние сети.
Типичными можно назвать угрозы:
- утечки данных по техническим каналам (речь идет о рисках, касающихся видовой, акустической и полученной через канал ПЭМИН информации);
- НСД, обусловленные действиями внутренних и внешних нарушителей;
- несанкционированного доступа к сведениям, обрабатываемым на АРМ, включая интеграцию сетевого вредоносного софта, запуска утилит в удаленном режиме, выявления паролей и перехвата трафика.
Показатели, влияющие на определение угроз ИСПДн
Анализ производится на основании двух параметров: частоты реализации и исходного уровня защищенности рассматриваемой системы. Фактически на данном этапе задача стоит в том, чтобы понять, насколько хорошо защищена система с учетом потенциальных УБ и какова вероятность реализации в ней каждой из угроз.
Расчет первого показателя требует вычисления процентного соотношения каждого из уровней по существующим для ИСПДн характеристикам:
- территориальному расположению;
- наличию подключения к сетям общего пользования;
- интегрированным операциям с записями баз конфиденциальных данных;
- степени разграничения доступа к информации;
- наличию соединения с другими базами личных сведений иных информационных систем;
- уровню обезличивания;
- предоставляемому третьим лица объему ПДн без выполнения обработки на предварительном этапе;
- количеству принимаемых решений.
Определение факторов и условий НСД к ПДн
Чтобы понять, какие угрозы являются актуальными для конкретной информационной системы, применяется специальная методика, разработанная экспертами ФСТЭК Российской Федерации. Она предполагает выполнение следующих действий:
- Определение уровня изначальной защищенности.
- Установление вероятности реализации той или иной УБПДн с вычислением соответствующего коэффициента.
- Оценка всех возможных рисков для анализируемой ИСПДн.
- Выявление степени актуальности каждой из угроз с учетом модели нарушителя и модели УБ персональных данных, исходной защищенности и экспертной оценки вероятности угроз.