Модель угроз безопасности персональных данных

Свести к минимуму возможность совершения неправомерных действий в отношении личной информации граждан позволяет ответственный подход операторов к интеграции СЗПДн. В свою очередь, для определения эффективных мер защиты необходимо понимать какие бывают угрозы и к чему они могут привести. Разобраться в этом помогает «модель угроз информационной безопасности организации», составление которой можно доверить персоналу компании либо сторонним специалистам. Документ предполагает тщательный предварительный анализ деятельности предприятия, ИП либо государственной организации с точки зрения вероятности несанкционированного доступа. Причем рассматриваются все источники УБ, включая незадекларированные опции приложений, действия физических лиц и программные закладки.

Задачи, которые выполняет модель угроз безопасности ИСПДн

Разработка документа требует достаточно большое количество как времени, так и человеческих интеллектуальных ресурсов. Эта мера вынужденная и позволит в дальнейшем избежать разногласий с контролирующими структурами, претензий со стороны клиентов и деловых партнеров, а также снизит репутационные риски.

Главные цели разработки модели угроз информационной безопасности организации:

• оценить, насколько сформированная ИС защищена от факторов риска НСД с учетом применяемых защитных мероприятий;
• принять решение о том, кто и каким образом будет заниматься вопросами безопасности конфиденциальных сведений (штатные работники либо аутсорсинговая компания) и передать им соответствующие полномочия;
• составить действенную систему защиты ПДн с применением установленных методик и средств, которые отвечают требованиям в отношении ИСПДн с установленным уровнем защищенности;
• реализовать план действий, направленный на предупреждение неправомочных действий в отношении персональных данных;
• разработать меры профилактики воздействия на оборудование и программное обеспечение компании, способные привести к незаконному использованию ПДн;
• обеспечить контроль эффективности СЗПДн.

При составлении документа необходимо следовать требованиям ФЗ-152 и специализированной нормативно-методической документации. Практика показывает, что чем тщательнее проведена работа по установлению, предупреждению и контролированию УБ, тем меньше вероятность утечки информации, касающейся персональных данных, и тем ниже финансовые затраты на дооптимизацию системы и уплату штрафов.

Что такое базовая модель угроз ИСПДн?

Работа по установлению УБ и разработке результативных методов противодействия крайне сложна. Для ее упрощения и унификации процесса ФСТЭК разработала базовую модель угроз ПДн в ИСПДн, в которой содержатся конкретные примеры факторов риска для различных систем с учетом всех вероятных каналов утечки. В расчет принимаются не только преднамеренные, но и случайные действия граждан, иностранных специальных служб, преступников, которые потенциально могут нанести вред владельцу информации, государству или обществу:

• НСД к информационным базам, который дает возможность блокировки, распространения, изменения, обновления и совершения иных операций с ПДн без разрешения граждан;
• перехват конфиденциальных сведений по техническим каналам для создания копий и неправомерного применения.

Документ был утвержден 15.02.2008 года и является основным для операторов, которые нацелены на приведение бизнеса в соответствие с законодательными требованиями в области персональных данных. Изучив базовую модель угроз ПДн, можно разобраться в:

• существующих деструктивных действиях в отношении конфиденциальных сведений;
• классах уязвимости ИСПДн;
• видах УБ и способах их реализации;
• источниках опасности и вариантах утечки ПДн.

Отдельно выделены образцы типовых УБ в зависимости от характеристик информационных систем, обрабатывающих персональные данные.

Угрозы безопасности ПД — это различные условия и факторы, из-за которых личная информация граждан (включая биометрическую) может попасть в распоряжение неуполномоченных лиц и быть использована с нарушениями ФЗ-152.

Этапы создания частной модели угроз ИСПДн

Далеко не все факторы, указанные в документе ФСТЭК, могут быть реализованы в той или иной ИСПДн, поэтому задача специалистов заключается в том, чтобы выделить реальные риски для определенной системы. Для этого разрабатывается частная модель угроз безопасности персональных данных на примере базовой, и делается это в такой последовательности:

1. Установление исходного уровня защищенности с расчетом соответствующего показателя.
2. Формирование модели нарушителя.
3. Составление предварительного списка УБ.
4. Оценка частоты возникновения каждой из выделенных угроз.
5. Анализ степени опасности УБ с последующим определением актуальных факторов.
6. Продумывание технических и организационных профилактических мероприятий согласно требованиям ФСБ и ФСТЭК.

Особенности проработки модели угроз информационной безопасности в соответствии с нормативами ФСТЭК

Структура документа определена методическими рекомендациями, но есть ряд нюансов, которые нужно учитывать. К ним относятся:

• техническое задание должен подписать руководитель владельца ИС, иначе модель вернут на доработку;
• нормативно-правовая база варьируется в зависимости от вида системы (например, для организаций, которые не применяют средства шифрования, не нужно прорабатывать документы, обозначенные в шаблоне пометкой «СКЗИ»);
• при упоминании правовой базы не следует упоминать документы, не имеющие отношения к ПДн, или те, которые уже перестали действовать;
• в большинстве случаев модель угроз информационной безопасности составляется в отношении ПДн, однако она также может быть составлена для информации — ЗИ или КИ в зависимости от специфики деятельности компании или ИП;
• при описании системы не нужно досконально описывать все сведения и ее технические параметры (например, серийные номер устройств или лицензионные ключи ПО). ИСПДн следует описать таким образом, чтобы можно было составить о ней общее представление;
• особое внимание следует обратить на раздел, посвященный описанию СКУД, охраны, видеонаблюдения;
• при составлении модели нарушителя важно выделить из перечня тех, которые актуальны именно для вашего предприятия;
• законодательством не предусмотрено подробное описание в модели УБ всех выявленных уязвимых мест системы. Оптимальным вариантом является использование классификации, предусмотренной ГОСТом Р 56546-2015;
• наиболее разумным при разработке частной модели является использование Банка данных угроз, в котором их на данный момент 213. Это избавит от необходимости самостоятельного подбора формулировок. Однако сортировка рисков в БДУ крайне непростая задача;
• просчет вероятности, опасности и актуальности осуществляется в отношении каждой угрозы;
• важно помнить, что если не исключить неактуальные факторы, то в дальнейшем придется нести дополнительную финансовую нагрузку на защиту от них.

Чтобы работа над определением УБ прошла успешно, обязательно следует изучить образцы. Следует отметить, что модели угроз ПДн в государственных ИСПДн имеют ряд особенностей, кроме того, есть ряд неофициальных пожеланий контролирующих структур, на которые следует обращать внимание.

В случае если собственных ресурсов не хватает или возникает потребность в приведении организации в соответствие с требованиями ФСБ, то имеет смысл делегировать данную работу сотрудникам нашего Центра, который специализируется на информационной безопасности в сфере ПДн.