Типы угроз персональных данных

Формирование и внедрение системы защиты ПДн является обязательным этапом для всех, кто в соответствии с действующим российским законодательством подпадает под категорию операторов персональных данных. Чтобы не тратить лишние денежные средства на обеспечение безопасности, необходимо, прежде всего, определиться с уровнем защищенности. Сделать это можно только после того, как будут определены типы угроз ИСПДн, то есть те факторы и условия, которые в сочетании могут привести к несанкционированному получению доступа и совершению операций с личной информацией граждан третьими лицами.

Методика и порядок действий по определению уровней защиты персональных данных при их обработке в информационных системах описаны в правительственном Постановлении № 1119. Также существуют дополнительные подзаконные акты и руководящие документы, на которые нужно ориентироваться, чтобы успешно подобрать меры для предотвращения НСД. Разбираясь в последовательности действий, у директоров предприятий и ИП нередко возникают сложности, поскольку нужно принимать в расчет множество требований. Минимизировать время на подготовку и установление уровня защищенности можно, доверившись профессионалам нашего центра.

Что нужно знать для определения типа угроз безопасности персональных данных?

Понимание того, какие риски существуют при обработке личной информации россиян, позволяет создать эффективную СЗПДн. Зачастую, действуя самостоятельно, руководители компаний допускают множество неточностей и ошибок в результате чего, на разработку и интеграцию средств защиты уходит масса времени, кадровых и денежных ресурсов. С другой стороны, неправильное определение типов актуальных угроз безопасности персональных данных может стать причиной попадания конфиденциальных сведений в распоряжение преступников, конкурентов и т.д. Таким образом, нужно адекватно оценить потенциальные риски и принять соответствующие меры.

Разбираясь в этом вопросе, следует учесть:

1. Нормативно-правовая база предусматривает 3 типа угроз персональных данных, причем самым низким считается третий, а самым высоким — первый.
2. За нарушением положений ФЗ-152 предусмотрено серьезное наказание, поэтому не следует легкомысленно относиться к установлению уровня защищенности информационных систем ПДн.
3. Кроме оценки влияния потенциально опасных факторов и условий потребуется выделить категории и типы субъектов ПД, а также их количество.
4. Чтобы определить тип актуальных угроз ИСПДн, необходимо принять в расчет наличие недокументированных возможностей (НДВ) в программном и прикладном софте, используемых предприятием в своей деятельности.
5. Системное ПО нацелено на обеспечение работоспособности оборудования, оно не решает конкретные практические задачи, а создает условия для функционирования других приложений. Прикладное программное обеспечение наоборот предполагает непосредственное взаимодействие с пользователем, позволяя ему достигать определенных целей в рамках установленных полномочий.
6. Под термином НДВ, как указано в документе, разработанном Гостехкомиссией РФ в 1999 году, понимают функциональные возможности ПО, которые не указаны в описании к софту либо не отвечают заявленным характеристиками и потенциально способны привести к неправомерному использованию конфиденциальной информации.

Угрозы 1 типа при обработке персональных данных в ИСПДн

К данной категории относятся комбинации факторов и условий, обусловленные наличием НДВ в системном, а иногда и в прикладном софте информационной системы ПДн. То есть используемые аппаратные возможности и утилиты могут стать причиной неправомерной блокировки, изменения, удаления и распространения личных сведений граждан.

Угрозы ИСПДн 2 типа

Выявляются в системах, где есть недекларируемые возможности в применяемых прикладных программах. Например, утилита, которая собирает и систематизирует ПДн, может быть использована для несанкционированного внесения изменений или уничтожения информации.

Угрозы 3 типа ИСПДн

Наиболее удачный вариант в плане затрат на защиту ИСПДн, когда отсутствует опасность получения доступа к персональным данным со стороны сотрудников и третьих лиц вследствие наличия НДВ в программном обеспечении.

Следует учесть, что без специализированных знаний и навыков определить потенциальные риски невозможно. Вам потребуется либо привлекать штатных сотрудников (если они есть), либо прибегнуть к аутсорсингу. Второй вариант предпочтительнее как в плане финансов, так и с точки зрения затрат времени. Профессионалы быстро проанализируют ПО и прочие аспекты деятельности, предоставив подробный отчет, на основании которого можно будет формировать СЗПДн (хотя это тоже лучше поручить экспертам, чтобы потом не столкнуться с проблемами во время проверок).

Порядок и особенности определения актуальных угроз безопасности

Чем раньше будет установлен уровень защищенности ИСПДн, тем меньше проблем возникнет с клиентами, поставщиками и контролирующими госструктурами. Оценка факторов риска согласно Методике, утвержденной в 2008 году ФСТЭК РФ, проводится исходя из того, существует ли вероятность их реализации в конкретной системе. При установлении типа угроз безопасности персональных данных ПДн в расчет берется уровень изначальной защищенности ИСПДн и возможность осуществления каждой из обнаруженных угроз. Существует несколько степеней опасности:

• низкая;
• средняя;
• высокая.

Задача специалистов, которые занимаются обеспечением информационной безопасности ПДн, заключается в выявлении из огромного многообразия рисков тех факторов, которые актуальны для определенной системы. На основе полученных результатов просчитывается, насколько защищены персональные данные и какие меры нужно предпринять для предупреждения НСД.