Методика определения актуальных угроз безопасности персональных данных

Чтобы соответствовать современным требованиям надежной и безопасной компании, которая заботится о сохранности конфиденциальной информации, нужно приложить немало усилий для предотвращения угроз безопасности (УБ) ПДн. Провести анализ и внедрить средства защиты необходимо еще и для того, чтобы не быть оштрафованным за несоблюдение положений ФЗ-152, распространяющихся на всех операторов, включая ИП. Перед построением и интеграцией системы защиты персональных данных (СЗПДн) необходимо определить:

• какие есть риски;
• насколько защищена система в настоящий момент;
• какова вероятность реализации конкретных УБ.

В целях унификации процессов, связанных с анализом потенциально опасных условий и факторов, власти разработали методику определения актуальных угроз ПДн. Простому обывателю досконально понять суть документа крайне проблематично, не говоря об адаптации деятельность по оценке УБ. В связи с чем, есть смысл поручить эту работу сотрудникам нашего центра. Далее мы рассмотрим ключевые моменты, связанные с алгоритмом, предусмотренным законодательством Российской Федерации.

Что собой представляет методика определения угроз безопасности персональных данных?

Если бы каждый оператор осуществлял анализ УБ не в соответствии с установленными правилами и методиками, а руководствуясь личными представлениями о том, на что обращать внимание, то в сфере ИБ царила бы неразбериха и безответственность. В свою очередь гражданам приходилось бы полагаться исключительно на добросовестность компаний и ИП, которым они доверяют личные сведения. Утвержденная 5 февраля 2021 года Методика оценки угроз безопасности информации помогла решить сразу несколько проблем:

• предоставить фирмам, предпринимателям и госорганам четкий механизм действий по установлению рисков в процессе их деятельности;
• наладить систему отслеживания и регулирования работы операторов в области обеспечения защиты ПДн;
• дифференцировать требования к разным типам ИСПДн;
• создать базу для интеграции эффективных мер предупреждения и реагирования на внутренние и внешние угрозы.

Документ, разработанный ФСТЭК, учитывает положения других действующих в стране нормативно-правовых актов, касающихся сферы ПДн, где подробно описано, что делать тем, кто намерен анализировать УБ и принимать решения по внедрению средств защиты информации:

• штатным сотрудникам, которые занимаются вопросами информационной безопасности;
• индивидуальным предпринимателям, не имеющим персонала (включая тех, кто ведет бизнес в Интернете);
• специалистам, работающим в аутсорсинговом формате;
• директорам предприятий.

Основная информация об УБ ПДн

Перед тем как приступать непосредственно к оценке угроз, важно ознакомиться с общими положениями методики, поскольку в них содержится главное, что нужно знать об угрозах безопасности ПДн:

1. К УБ относятся различные факторы, а также условия, способные привести к неправомерному использованию конфиденциальных сведений о гражданах.
2. Задачей оператора является защита не только от преднамеренных, но и от случайных действий в отношении ПДн.
3. Существует два основных способа реализации УБ — с помощью специализированного софта либо через технические каналы. Отдельной категорией являются угрозы, которые связаны с утечками через сетевые протоколы.
4. В качестве источников опасности могут выступать аппаратные закладки, нарушители (штатные и внештатные сотрудники, хакеры, посетители и т.д.), а также носители вредоносного ПО.
5. При установлении факторов риска, предполагающих использование программного обеспечения либо устройств, необходима экспертная оценка, в том числе с применением сетевых сканеров.
6. О наличии той или иной угрозы можно говорить в том случае, если выявлено уязвимое звено и источник, необходимые для реализации данной УБ.

Процесс определения угроз безопасности персональных данных: ключевые моменты

Есть огромное количество УБ, но далеко не все из них необходимо принимать во внимание, формируя систему информационной защиты. Алгоритм, предлагаемый ФСТЭК, дает возможность выявить именно те факторы, которые способны привести к НСД именно в вашей ИСПДн. Для этого необходимо проанализировать уровень изначальной защищенности, а также оценить, с какой вероятность конкретная угроза может возникнуть. Согласно Методике должна быть проведена оценка угроз, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).

Необходимо оценивать актуальность каждой угрозы по нескольким критериям, отвечая на следующие вопросы:

• является ли нарушитель или иной источник угрозы актуальным для информационной системы?
• функционал или особенность информационной системы позволяет осуществлять на неё воздействие угрозы?
• возможны ли какие-то способы реализации угрозы (существуют ли сценарии её реализации)?
  
• приведет ли реализация угрозы к негативным последствиям?

Только в случае положительного ответа на все поставленные вопросы делается вывод об актуальности рассматриваемой угрозы. Таким образом на выходе получается перечень актуальных угроз.

После определения списка актуальных угроз безопасности персональных данных согласно установленному алгоритму, специалисты могут приступать к проработке организационно-технических требований, на основании которых впоследствии будет выстраиваться СЗПДн.