11 лет защищаем компании от рисков
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Заказать звонок
Центр безопасности данных
Услуги и решения
  • Персональные данные
  • Конфиденциальная информация
  • Защищенные приложения
  • Средства защиты информации
  • General Data Protection Regulation
  • Консалтинг и обучение
Каталог СЗИ
  • Защита серверов и рабочих станций
    Защита серверов и рабочих станций
    • Защита информации от НСД
    • Средства доверенной загрузки
  • Сетевая безопасность
    Сетевая безопасность
    • Межсетевое экранирование
Информация
  • Ликбез по персональным данным
  • Штрафы за нарушения
  • Статьи и публикации
  • Вопросы и ответы
  • Новости о ПДн
  • Законодательство
Компания
  • О компании
  • История
  • Лицензии и сертификаты
  • Клиенты
  • Партнеры
  • Вакансии
Контакты
    Услуги по приведению в соответствие требованиям закона о персональных данных
    Центр безопасности данных
    Услуги и решения
    • Персональные данные
    • Конфиденциальная информация
    • Защищенные приложения
    • Средства защиты информации
    • General Data Protection Regulation
    • Консалтинг и обучение
    Каталог СЗИ
    • Защита серверов и рабочих станций
      Защита серверов и рабочих станций
      • Защита информации от НСД
      • Средства доверенной загрузки
    • Сетевая безопасность
      Сетевая безопасность
      • Межсетевое экранирование
    Информация
    • Ликбез по персональным данным
    • Штрафы за нарушения
    • Статьи и публикации
    • Вопросы и ответы
    • Новости о ПДн
    • Законодательство
    Компания
    • О компании
    • История
    • Лицензии и сертификаты
    • Клиенты
    • Партнеры
    • Вакансии
    Контакты
      Центр безопасности данных
      Телефоны
      +7 800 350-11-52
      +7 495 108-71-52
      Заказать звонок
      • Услуги и решения
        • Назад
        • Услуги и решения
        • Персональные данные
        • Конфиденциальная информация
        • Защищенные приложения
        • Средства защиты информации
        • General Data Protection Regulation
        • Консалтинг и обучение
      • Каталог СЗИ
        • Назад
        • Каталог СЗИ
        • Защита серверов и рабочих станций
          • Назад
          • Защита серверов и рабочих станций
          • Защита информации от НСД
          • Средства доверенной загрузки
        • Сетевая безопасность
          • Назад
          • Сетевая безопасность
          • Межсетевое экранирование
      • Информация
        • Назад
        • Информация
        • Ликбез по персональным данным
        • Штрафы за нарушения
        • Статьи и публикации
        • Вопросы и ответы
        • Новости о ПДн
        • Законодательство
      • Компания
        • Назад
        • Компания
        • О компании
        • История
        • Лицензии и сертификаты
        • Клиенты
        • Партнеры
        • Вакансии
      • Контакты
      • +7 800 350-11-52
        • Назад
        • Телефоны
        • +7 800 350-11-52
        • +7 495 108-71-52
        • Заказать звонок
      info@data-sec.ru
      info@data-sec.ru
      • Главная
      • Ликбез
      • Модель угроз безопасности персональных данных

      Модель угроз безопасности персональных данных

      Модель угроз безопасности персональных данных

      Свести к минимуму возможность совершения неправомерных действий в отношении личной информации граждан позволяет ответственный подход операторов к интеграции СЗПДн. В свою очередь, для определения эффективных мер защиты необходимо понимать какие бывают угрозы и к чему они могут привести. Разобраться в этом помогает «модель угроз информационной безопасности организации», составление которой можно доверить персоналу компании либо сторонним специалистам. Документ предполагает тщательный предварительный анализ деятельности предприятия, ИП либо государственной организации с точки зрения вероятности несанкционированного доступа. Причем рассматриваются все источники УБ, включая незадекларированные опции приложений, действия физических лиц и программные закладки.

      Задачи, которые выполняет модель угроз безопасности ИСПДн

      Разработка документа требует достаточно большое количество как времени, так и человеческих интеллектуальных ресурсов. Эта мера вынужденная и позволит в дальнейшем избежать разногласий с контролирующими структурами, претензий со стороны клиентов и деловых партнеров, а также снизит репутационные риски.

      Главные цели разработки модели угроз информационной безопасности организации:

      • оценить, насколько сформированная ИС защищена от факторов риска НСД с учетом применяемых защитных мероприятий;
      • принять решение о том, кто и каким образом будет заниматься вопросами безопасности конфиденциальных сведений (штатные работники либо аутсорсинговая компания) и передать им соответствующие полномочия;
      • составить действенную систему защиты ПДн с применением установленных методик и средств, которые отвечают требованиям в отношении ИСПДн с установленным уровнем защищенности;
      • реализовать план действий, направленный на предупреждение неправомочных действий в отношении персональных данных;
      • разработать меры профилактики воздействия на оборудование и программное обеспечение компании, способные привести к незаконному использованию ПДн;
      • обеспечить контроль эффективности СЗПДн.

      При составлении документа необходимо следовать требованиям ФЗ-152 и специализированной нормативно-методической документации. Практика показывает, что чем тщательнее проведена работа по установлению, предупреждению и контролированию УБ, тем меньше вероятность утечки информации, касающейся персональных данных, и тем ниже финансовые затраты на дооптимизацию системы и уплату штрафов.

      Что такое базовая модель угроз ИСПДн?

      Работа по установлению УБ и разработке результативных методов противодействия крайне сложна. Для ее упрощения и унификации процесса ФСТЭК разработала базовую модель угроз ПДн в ИСПДн, в которой содержатся конкретные примеры факторов риска для различных систем с учетом всех вероятных каналов утечки. В расчет принимаются не только преднамеренные, но и случайные действия граждан, иностранных специальных служб, преступников, которые потенциально могут нанести вред владельцу информации, государству или обществу:

      • НСД к информационным базам, который дает возможность блокировки, распространения, изменения, обновления и совершения иных операций с ПДн без разрешения граждан;
      • перехват конфиденциальных сведений по техническим каналам для создания копий и неправомерного применения.

      Документ был утвержден 15.02.2008 года и является основным для операторов, которые нацелены на приведение бизнеса в соответствие с законодательными требованиями в области персональных данных. Изучив базовую модель угроз ПДн, можно разобраться в:

      • существующих деструктивных действиях в отношении конфиденциальных сведений;
      • классах уязвимости ИСПДн;
      • видах УБ и способах их реализации;
      • источниках опасности и вариантах утечки ПДн.

      Отдельно выделены образцы типовых УБ в зависимости от характеристик информационных систем, обрабатывающих персональные данные.

      Угрозы безопасности ПД — это различные условия и факторы, из-за которых личная информация граждан (включая биометрическую) может попасть в распоряжение неуполномоченных лиц и быть использована с нарушениями ФЗ-152.

      Этапы создания частной модели угроз ИСПДн

      Далеко не все факторы, указанные в документе ФСТЭК, могут быть реализованы в той или иной ИСПДн, поэтому задача специалистов заключается в том, чтобы выделить реальные риски для определенной системы. Для этого разрабатывается частная модель угроз безопасности персональных данных на примере базовой, и делается это в такой последовательности:

      1. Установление исходного уровня защищенности с расчетом соответствующего показателя.
      2. Формирование модели нарушителя.
      3. Составление предварительного списка УБ.
      4. Оценка частоты возникновения каждой из выделенных угроз.
      5. Анализ степени опасности УБ с последующим определением актуальных факторов.
      6. Продумывание технических и организационных профилактических мероприятий согласно требованиям ФСБ и ФСТЭК.

      Особенности проработки модели угроз информационной безопасности в соответствии с нормативами ФСТЭК

      Структура документа определена методическими рекомендациями, но есть ряд нюансов, которые нужно учитывать. К ним относятся:

      • техническое задание должен подписать руководитель владельца ИС, иначе модель вернут на доработку;
      • нормативно-правовая база варьируется в зависимости от вида системы (например, для организаций, которые не применяют средства шифрования, не нужно прорабатывать документы, обозначенные в шаблоне пометкой «СКЗИ»);
      • при упоминании правовой базы не следует упоминать документы, не имеющие отношения к ПДн, или те, которые уже перестали действовать;
      • в большинстве случаев модель угроз информационной безопасности составляется в отношении ПДн, однако она также может быть составлена для информации — ЗИ или КИ в зависимости от специфики деятельности компании или ИП;
      • при описании системы не нужно досконально описывать все сведения и ее технические параметры (например, серийные номер устройств или лицензионные ключи ПО). ИСПДн следует описать таким образом, чтобы можно было составить о ней общее представление;
      • особое внимание следует обратить на раздел, посвященный описанию СКУД, охраны, видеонаблюдения;
      • при составлении модели нарушителя важно выделить из перечня тех, которые актуальны именно для вашего предприятия;
      • законодательством не предусмотрено подробное описание в модели УБ всех выявленных уязвимых мест системы. Оптимальным вариантом является использование классификации, предусмотренной ГОСТом Р 56546-2015;
      • наиболее разумным при разработке частной модели является использование Банка данных угроз, в котором их на данный момент 213. Это избавит от необходимости самостоятельного подбора формулировок. Однако сортировка рисков в БДУ крайне непростая задача;
      • просчет вероятности, опасности и актуальности осуществляется в отношении каждой угрозы;
      • важно помнить, что если не исключить неактуальные факторы, то в дальнейшем придется нести дополнительную финансовую нагрузку на защиту от них.

      Чтобы работа над определением УБ прошла успешно, обязательно следует изучить образцы. Следует отметить, что модели угроз ПДн в государственных ИСПДн имеют ряд особенностей, кроме того, есть ряд неофициальных пожеланий контролирующих структур, на которые следует обращать внимание.

      В случае если собственных ресурсов не хватает или возникает потребность в приведении организации в соответствие с требованиями ФСБ, то имеет смысл делегировать данную работу сотрудникам нашего Центра, который специализируется на информационной безопасности в сфере ПДн.


      Теги
      угрозы
      • Prev
      • Next
      Другие статьи Ликбеза
      • Что такое персональные данные?
        Что такое персональные данные?
      • Виды персональных данных
        Виды персональных данных
      • Зачем защищать персональные данные?
        Зачем защищать персональные данные?
      • Штрафы в области персональных данных в 2023 году
        Штрафы в области персональных данных в 2023 году
      • Как защищать персональные данные?
        Как защищать персональные данные?
      • Автоматизированная и неавтоматизированная обработка персональных данных
        Автоматизированная и неавтоматизированная обработка персональных данных
      • Обработка персональных данных без использования средств автоматизации
        Обработка персональных данных без использования средств автоматизации
      • Обработка персональных данных с использованием средств автоматизации
        Обработка персональных данных с использованием средств автоматизации
      • Угрозы безопасности персональных данных
        Угрозы безопасности персональных данных
      • Типы угроз персональных данных
        Типы угроз персональных данных
      • Актуальные угрозы безопасности персональных данных
        Актуальные угрозы безопасности персональных данных
      • Методика определения актуальных угроз безопасности персональных данных
        Методика определения актуальных угроз безопасности персональных данных
      • Банк данных угроз безопасности информации
        Банк данных угроз безопасности информации
      • Классификация информационных систем персональных данных (отменена)
        Классификация информационных систем персональных данных (отменена)
      • Информационная система типовая или специальная?
        Информационная система типовая или специальная?
      • Уведомление Роскомнадзора об обработке персональных данных
        Уведомление Роскомнадзора об обработке персональных данных
      • Образец уведомления об обработке персональных данных
        Образец уведомления об обработке персональных данных
      • Уведомление об изменении данных в Роскомнадзор
        Уведомление об изменении данных в Роскомнадзор
      • Уведомление о прекращении обработки персональных данных
        Уведомление о прекращении обработки персональных данных
      • Аттестация информационных систем персональных данных
        Аттестация информационных систем персональных данных

      Услуги
      Индивидуальный проект
      Индивидуальный проект
      Индивидуальный проект включает разработку и внедрение защищенной системы обработки персональных данных с учетом особенностей вашей организации
      Разработка документации
      Разработка документации
      Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Ликбез по персональным данным
      • Штрафы за нарушения
      • Статьи и публикации
      • Вопросы и ответы
      • Новости о ПДн
      • Законодательство
      Приведение в соответствие 152-ФЗ
      Всегда рядом
      Всегда рядом Оказываем услуги дистанционно на всей территории России
      Цены сбалансированы
      Цены сбалансированы Индивидуальный подход при формировании стоимости работ
      Привлекательные сроки
      Привлекательные сроки Приведение обработки ПДн в соответствие 152-ФЗ – от 10 рабочих дней
      Огромный опыт
      Огромный опыт На рынке защиты персональных данных с 2011 года
      Компания
      О компании
      История
      Лицензии и сертификаты
      Клиенты
      Партнеры
      Вакансии
      Контактная информация
      Услуги
      Персональные данные
      Конфиденциальная информация
      Защищенные приложения
      Средства защиты информации
      General Data Protection Regulation
      Консалтинг и обучение
      Стоимость услуг
      Информация
      Ликбез по персональным данным
      Штрафы за нарушения
      Статьи и публикации
      Вопросы и ответы
      Новости о ПДн
      Законодательство
      Карта сайта
      Мессенджеры для связи:
      Наши контакты:

      +7 800 350-11-52
      +7 495 108-71-52
      Пн - Пт: с 8:00 до 17:00
      info@data-sec.ru
      Пользовательское соглашение  ⋅  Политика обработки персональных данных  ⋅  Заявление о конфиденциальности  ⋅  Файлы «Cookie»  ⋅  Правила копирования материалов  ⋅  Письмо директору
      © 2011–2023 Центр безопасности данных

      О файлах «Cookie»

      Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на размещение файлов «Cookie»

      Подробнее