11 лет защищаем компании от рисков
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Заказать звонок
Центр безопасности данных
Услуги и решения
  • Персональные данные
  • Конфиденциальная информация
  • Защищенные приложения
  • Средства защиты информации
  • General Data Protection Regulation
  • Консалтинг и обучение
Каталог СЗИ
  • Защита серверов и рабочих станций
    Защита серверов и рабочих станций
    • Защита информации от НСД
    • Средства доверенной загрузки
  • Сетевая безопасность
    Сетевая безопасность
    • Межсетевое экранирование
Информация
  • Ликбез по персональным данным
  • Штрафы за нарушения
  • Статьи и публикации
  • Вопросы и ответы
  • Новости о ПДн
  • Законодательство
Компания
  • О компании
  • История
  • Лицензии и сертификаты
  • Клиенты
  • Партнеры
  • Вакансии
Контакты
    Услуги по приведению в соответствие требованиям закона о персональных данных
    Центр безопасности данных
    Услуги и решения
    • Персональные данные
    • Конфиденциальная информация
    • Защищенные приложения
    • Средства защиты информации
    • General Data Protection Regulation
    • Консалтинг и обучение
    Каталог СЗИ
    • Защита серверов и рабочих станций
      Защита серверов и рабочих станций
      • Защита информации от НСД
      • Средства доверенной загрузки
    • Сетевая безопасность
      Сетевая безопасность
      • Межсетевое экранирование
    Информация
    • Ликбез по персональным данным
    • Штрафы за нарушения
    • Статьи и публикации
    • Вопросы и ответы
    • Новости о ПДн
    • Законодательство
    Компания
    • О компании
    • История
    • Лицензии и сертификаты
    • Клиенты
    • Партнеры
    • Вакансии
    Контакты
      Центр безопасности данных
      Телефоны
      +7 800 350-11-52
      +7 495 108-71-52
      Заказать звонок
      • Услуги и решения
        • Назад
        • Услуги и решения
        • Персональные данные
        • Конфиденциальная информация
        • Защищенные приложения
        • Средства защиты информации
        • General Data Protection Regulation
        • Консалтинг и обучение
      • Каталог СЗИ
        • Назад
        • Каталог СЗИ
        • Защита серверов и рабочих станций
          • Назад
          • Защита серверов и рабочих станций
          • Защита информации от НСД
          • Средства доверенной загрузки
        • Сетевая безопасность
          • Назад
          • Сетевая безопасность
          • Межсетевое экранирование
      • Информация
        • Назад
        • Информация
        • Ликбез по персональным данным
        • Штрафы за нарушения
        • Статьи и публикации
        • Вопросы и ответы
        • Новости о ПДн
        • Законодательство
      • Компания
        • Назад
        • Компания
        • О компании
        • История
        • Лицензии и сертификаты
        • Клиенты
        • Партнеры
        • Вакансии
      • Контакты
      • +7 800 350-11-52
        • Назад
        • Телефоны
        • +7 800 350-11-52
        • +7 495 108-71-52
        • Заказать звонок
      info@data-sec.ru
      info@data-sec.ru
      • Главная
      • Ликбез
      • Методика определения актуальных угроз безопасности персональных данных

      Методика определения актуальных угроз безопасности персональных данных

      Методика определения актуальных угроз безопасности персональных данных

      Чтобы соответствовать современным требованиям надежной и безопасной компании, которая заботится о сохранности конфиденциальной информации, нужно приложить немало усилий для предотвращения УБ ПДн. Провести анализ и внедрить средства защиты необходимо еще и для того, чтобы не быть оштрафованным за несоблюдение положений ФЗ-152, распространяющихся на всех операторов, включая ИП. Перед построением и интеграцией СЗПДн необходимо определить:

      • какие есть риски;
      • насколько защищена система в настоящий момент;
      • какова вероятность реализации конкретных УБ.

      В целях унификации процессов, связанных с анализом потенциально опасных условий и факторов, власти разработали методику определения актуальных угроз ПДн. Простому обывателю досконально понять суть документа крайне проблематично, не говоря об адаптации деятельность по оценке УБ. В связи с чем, есть смысл поручить эту работу сотрудникам нашего центра . Далее мы рассмотрим ключевые моменты, связанные с алгоритмом, предусмотренным законодательством Российской Федерации.

      Что собой представляет методика определения угроз безопасности персональных данных?

      Если бы каждый оператор осуществлял анализ УБ не в соответствии с установленными правилами и методиками, а руководствуясь личными представлениями о том, на что обращать внимание, то в сфере ИБ царила бы неразбериха и безответственность. В свою очередь гражданам приходилось бы полагаться исключительно на добросовестность компаний и ИП, которым они доверяют личные сведения. Утвержденная 14.02.2008 методика определения актуальных угроз безопасности персональных данных помогла решить сразу несколько проблем:

      • предоставить фирмам, предпринимателям и госорганам четкий механизм действий по установлению рисков в процессе их деятельности;
      • наладить систему отслеживания и регулирования работы операторов в области обеспечения защиты ПДн;
      • дифференцировать требования к разным типам ИСПДн;
      • создать базу для интеграции эффективных мер предупреждения и реагирования на внутренние и внешние угрозы.

      Документ, разработанный ФСТЭК, учитывает положения других действующих в стране нормативно-правовых актов, касающихся сферы ПДн, где подробно описано, что делать тем, кто намерен анализировать УБ и принимать решения по внедрению СЗ:

      • штатным сотрудникам, которые занимаются вопросами информационной безопасности;
      • индивидуальным предпринимателям, не имеющим персонала (включая тех, кто ведет бизнес в Интернете);
      • специалистам, работающим в аутсорсинговом формате;
      • директорам предприятий.

      Основная информация об УБ ПДн

      Перед тем как приступать непосредственно к расчетам, важно ознакомиться с общими положениями методики, поскольку в них содержится главное, что нужно знать об угрозах безопасности ПДн:

      1. К УБ относятся различные факторы, а также условия, способные привести к неправомерному использованию конфиденциальных сведений о гражданах.
      2. Задачей оператора является защита не только от преднамеренных, но и от случайных незаконных действий в отношении ПДн.
      3. Существует два основных способа реализации УБ — с помощью специализированного софта либо через технические каналы. Отдельной категорией являются угрозы, которые связаны с утечками через межсетевые протоколы.
      4. В качестве источников опасности могут выступать аппаратные закладки, нарушители (штатные и внештатные сотрудники, хакеры, посетители и т.д.), а также носители вредоносного ПО.
      5. При установлении факторов риска, предполагающих использование утилит либо устройств, необходима экспертная оценка, в том числе с применением сетевых сканеров.
      6. О наличии той или иной угрозы можно говорить в том случае, если выявлено уязвимое звено и источник, необходимые для реализации данной УБ.

      Процесс определения угроз безопасности персональных данных: ключевые моменты

      Есть огромное количество УБ, но далеко не все из них необходимо принимать во внимание, формируя систему информационной защиты. Алгоритм, предлагаемый ФСТЭК, дает возможность выявить именно те факторы, которые способны привести к НСД именно в вашей ИСПДн. Для этого необходимо проанализировать уровень изначальной защищенности, а также просчитать, с какой вероятность конкретная угроза может возникнуть.

      Первый показатель базируется на оценке эксплуатационных и технических свойств системы с помощью указанной в методике таблицы:

      • высокий уровень определяется, если больше 70% параметров отвечают высокому уровню, а остальные — среднему;
      • если как минимум 70% характеристик отвечают уровню не ниже среднего, а остальные относятся к низкому, то ИСПДн имеет средний уровень;
      • при несоблюдении требований высокого и среднего уровня системе присваивают низкий уровень исходной защищенности.

      Второй показатель позволяет оценить, как часто может быть реализовано условие, при котором происходит несанкционированный доступ и использование ПДн. Для этого нужно составить перечень УБ и с учетом наличия объективных возможностей для её выполнения обозначить её маловероятность, низкую, среднюю либо высокую вероятность. Для каждой из градаций предусмотрен числовой эквивалент: 0, 2, 5 и 10, соответственно. После этого рассчитывается коэффициент Y = (Y1+Y2)/20 и проводится экспертная оценка с привлечением должностных лиц и сторонних экспертов. Последний этап — выделение из списка тех УБ, которые возможно осуществить в исследуемой системе.

      После определения типа актуальных угроз безопасности персональных данных согласно установленному алгоритму, специалисты могут приступать к проработке организационно-технических требований, на основании которых будет потом выстраиваться СЗПДн.


      Теги
      угрозы
      • Prev
      • Next
      Другие статьи Ликбеза
      • Что такое персональные данные?
        Что такое персональные данные?
      • Виды персональных данных
        Виды персональных данных
      • Зачем защищать персональные данные?
        Зачем защищать персональные данные?
      • Штрафы в области персональных данных в 2023 году
        Штрафы в области персональных данных в 2023 году
      • Как защищать персональные данные?
        Как защищать персональные данные?
      • Автоматизированная и неавтоматизированная обработка персональных данных
        Автоматизированная и неавтоматизированная обработка персональных данных
      • Обработка персональных данных без использования средств автоматизации
        Обработка персональных данных без использования средств автоматизации
      • Обработка персональных данных с использованием средств автоматизации
        Обработка персональных данных с использованием средств автоматизации
      • Угрозы безопасности персональных данных
        Угрозы безопасности персональных данных
      • Типы угроз персональных данных
        Типы угроз персональных данных
      • Актуальные угрозы безопасности персональных данных
        Актуальные угрозы безопасности персональных данных
      • Банк данных угроз безопасности информации
        Банк данных угроз безопасности информации
      • Модель угроз безопасности персональных данных
        Модель угроз безопасности персональных данных
      • Классификация информационных систем персональных данных (отменена)
        Классификация информационных систем персональных данных (отменена)
      • Информационная система типовая или специальная?
        Информационная система типовая или специальная?
      • Уведомление Роскомнадзора об обработке персональных данных
        Уведомление Роскомнадзора об обработке персональных данных
      • Образец уведомления об обработке персональных данных
        Образец уведомления об обработке персональных данных
      • Уведомление об изменении данных в Роскомнадзор
        Уведомление об изменении данных в Роскомнадзор
      • Уведомление о прекращении обработки персональных данных
        Уведомление о прекращении обработки персональных данных
      • Аттестация информационных систем персональных данных
        Аттестация информационных систем персональных данных

      Услуги
      Индивидуальный проект
      Индивидуальный проект
      Индивидуальный проект включает разработку и внедрение защищенной системы обработки персональных данных с учетом особенностей вашей организации
      Разработка документации
      Разработка документации
      Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Ликбез по персональным данным
      • Штрафы за нарушения
      • Статьи и публикации
      • Вопросы и ответы
      • Новости о ПДн
      • Законодательство
      Приведение в соответствие 152-ФЗ
      Всегда рядом
      Всегда рядом Оказываем услуги дистанционно на всей территории России
      Цены сбалансированы
      Цены сбалансированы Индивидуальный подход при формировании стоимости работ
      Привлекательные сроки
      Привлекательные сроки Приведение обработки ПДн в соответствие 152-ФЗ – от 10 рабочих дней
      Огромный опыт
      Огромный опыт На рынке защиты персональных данных с 2011 года
      Компания
      О компании
      История
      Лицензии и сертификаты
      Клиенты
      Партнеры
      Вакансии
      Контактная информация
      Услуги
      Персональные данные
      Конфиденциальная информация
      Защищенные приложения
      Средства защиты информации
      General Data Protection Regulation
      Консалтинг и обучение
      Стоимость услуг
      Информация
      Ликбез по персональным данным
      Штрафы за нарушения
      Статьи и публикации
      Вопросы и ответы
      Новости о ПДн
      Законодательство
      Карта сайта
      Мессенджеры для связи:
      Наши контакты:

      +7 800 350-11-52
      +7 495 108-71-52
      Пн - Пт: с 8:00 до 17:00
      info@data-sec.ru
      Пользовательское соглашение  ⋅  Политика обработки персональных данных  ⋅  Заявление о конфиденциальности  ⋅  Файлы «Cookie»  ⋅  Правила копирования материалов  ⋅  Письмо директору
      © 2011–2023 Центр безопасности данных

      О файлах «Cookie»

      Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на размещение файлов «Cookie»

      Подробнее