Методика определения актуальных угроз безопасности персональных данных

Чтобы соответствовать современным требованиям надежной и безопасной компании, которая заботится о сохранности конфиденциальной информации, нужно приложить немало усилий для предотвращения УБ ПДн. Провести анализ и внедрить средства защиты необходимо еще и для того, чтобы не быть оштрафованным за несоблюдение положений ФЗ-152, распространяющихся на всех операторов, включая ИП. Перед построением и интеграцией СЗПДн необходимо определить:

• какие есть риски;
• насколько защищена система в настоящий момент;
• какова вероятность реализации конкретных УБ.

В целях унификации процессов, связанных с анализом потенциально опасных условий и факторов, власти разработали методику определения актуальных угроз ПДн. Простому обывателю досконально понять суть документа крайне проблематично, не говоря об адаптации деятельность по оценке УБ. В связи с чем, есть смысл поручить эту работу сотрудникам нашего центра . Далее мы рассмотрим ключевые моменты, связанные с алгоритмом, предусмотренным законодательством Российской Федерации.

Что собой представляет методика определения угроз безопасности персональных данных?

Если бы каждый оператор осуществлял анализ УБ не в соответствии с установленными правилами и методиками, а руководствуясь личными представлениями о том, на что обращать внимание, то в сфере ИБ царила бы неразбериха и безответственность. В свою очередь гражданам приходилось бы полагаться исключительно на добросовестность компаний и ИП, которым они доверяют личные сведения. Утвержденная 14.02.2008 методика определения актуальных угроз безопасности персональных данных помогла решить сразу несколько проблем:

• предоставить фирмам, предпринимателям и госорганам четкий механизм действий по установлению рисков в процессе их деятельности;
• наладить систему отслеживания и регулирования работы операторов в области обеспечения защиты ПДн;
• дифференцировать требования к разным типам ИСПДн;
• создать базу для интеграции эффективных мер предупреждения и реагирования на внутренние и внешние угрозы.

Документ, разработанный ФСТЭК, учитывает положения других действующих в стране нормативно-правовых актов, касающихся сферы ПДн, где подробно описано, что делать тем, кто намерен анализировать УБ и принимать решения по внедрению СЗ:

• штатным сотрудникам, которые занимаются вопросами информационной безопасности;
• индивидуальным предпринимателям, не имеющим персонала (включая тех, кто ведет бизнес в Интернете);
• специалистам, работающим в аутсорсинговом формате;
• директорам предприятий.

Основная информация об УБ ПДн

Перед тем как приступать непосредственно к расчетам, важно ознакомиться с общими положениями методики, поскольку в них содержится главное, что нужно знать об угрозах безопасности ПДн:

1. К УБ относятся различные факторы, а также условия, способные привести к неправомерному использованию конфиденциальных сведений о гражданах.
2. Задачей оператора является защита не только от преднамеренных, но и от случайных незаконных действий в отношении ПДн.
3. Существует два основных способа реализации УБ — с помощью специализированного софта либо через технические каналы. Отдельной категорией являются угрозы, которые связаны с утечками через межсетевые протоколы.
4. В качестве источников опасности могут выступать аппаратные закладки, нарушители (штатные и внештатные сотрудники, хакеры, посетители и т.д.), а также носители вредоносного ПО.
5. При установлении факторов риска, предполагающих использование утилит либо устройств, необходима экспертная оценка, в том числе с применением сетевых сканеров.
6. О наличии той или иной угрозы можно говорить в том случае, если выявлено уязвимое звено и источник, необходимые для реализации данной УБ.

Процесс определения угроз безопасности персональных данных: ключевые моменты

Есть огромное количество УБ, но далеко не все из них необходимо принимать во внимание, формируя систему информационной защиты. Алгоритм, предлагаемый ФСТЭК, дает возможность выявить именно те факторы, которые способны привести к НСД именно в вашей ИСПДн. Для этого необходимо проанализировать уровень изначальной защищенности, а также просчитать, с какой вероятность конкретная угроза может возникнуть.

Первый показатель базируется на оценке эксплуатационных и технических свойств системы с помощью указанной в методике таблицы:

• высокий уровень определяется, если больше 70% параметров отвечают высокому уровню, а остальные — среднему;
• если как минимум 70% характеристик отвечают уровню не ниже среднего, а остальные относятся к низкому, то ИСПДн имеет средний уровень;
• при несоблюдении требований высокого и среднего уровня системе присваивают низкий уровень исходной защищенности.

Второй показатель позволяет оценить, как часто может быть реализовано условие, при котором происходит несанкционированный доступ и использование ПДн. Для этого нужно составить перечень УБ и с учетом наличия объективных возможностей для её выполнения обозначить её маловероятность, низкую, среднюю либо высокую вероятность. Для каждой из градаций предусмотрен числовой эквивалент: 0, 2, 5 и 10, соответственно. После этого рассчитывается коэффициент Y = (Y1+Y2)/20 и проводится экспертная оценка с привлечением должностных лиц и сторонних экспертов. Последний этап — выделение из списка тех УБ, которые возможно осуществить в исследуемой системе.

После определения типа актуальных угроз безопасности персональных данных согласно установленному алгоритму, специалисты могут приступать к проработке организационно-технических требований, на основании которых будет потом выстраиваться СЗПДн.