11 лет защищаем компании от рисков
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Заказать звонок
Центр безопасности данных
Услуги и решения
  • Персональные данные
  • Конфиденциальная информация
  • Защищенные приложения
  • Средства защиты информации
  • General Data Protection Regulation
  • Консалтинг и обучение
Каталог СЗИ
  • Защита серверов и рабочих станций
    Защита серверов и рабочих станций
    • Защита информации от НСД
    • Средства доверенной загрузки
  • Сетевая безопасность
    Сетевая безопасность
    • Межсетевое экранирование
Информация
  • Ликбез по персональным данным
  • Штрафы за нарушения
  • Статьи и публикации
  • Вопросы и ответы
  • Новости о ПДн
  • Законодательство
Компания
  • О компании
  • История
  • Лицензии и сертификаты
  • Клиенты
  • Партнеры
  • Вакансии
Контакты
    Услуги по приведению в соответствие требованиям закона о персональных данных
    Центр безопасности данных
    Услуги и решения
    • Персональные данные
    • Конфиденциальная информация
    • Защищенные приложения
    • Средства защиты информации
    • General Data Protection Regulation
    • Консалтинг и обучение
    Каталог СЗИ
    • Защита серверов и рабочих станций
      Защита серверов и рабочих станций
      • Защита информации от НСД
      • Средства доверенной загрузки
    • Сетевая безопасность
      Сетевая безопасность
      • Межсетевое экранирование
    Информация
    • Ликбез по персональным данным
    • Штрафы за нарушения
    • Статьи и публикации
    • Вопросы и ответы
    • Новости о ПДн
    • Законодательство
    Компания
    • О компании
    • История
    • Лицензии и сертификаты
    • Клиенты
    • Партнеры
    • Вакансии
    Контакты
      Центр безопасности данных
      Телефоны
      +7 800 350-11-52
      +7 495 108-71-52
      Заказать звонок
      • Услуги и решения
        • Назад
        • Услуги и решения
        • Персональные данные
        • Конфиденциальная информация
        • Защищенные приложения
        • Средства защиты информации
        • General Data Protection Regulation
        • Консалтинг и обучение
      • Каталог СЗИ
        • Назад
        • Каталог СЗИ
        • Защита серверов и рабочих станций
          • Назад
          • Защита серверов и рабочих станций
          • Защита информации от НСД
          • Средства доверенной загрузки
        • Сетевая безопасность
          • Назад
          • Сетевая безопасность
          • Межсетевое экранирование
      • Информация
        • Назад
        • Информация
        • Ликбез по персональным данным
        • Штрафы за нарушения
        • Статьи и публикации
        • Вопросы и ответы
        • Новости о ПДн
        • Законодательство
      • Компания
        • Назад
        • Компания
        • О компании
        • История
        • Лицензии и сертификаты
        • Клиенты
        • Партнеры
        • Вакансии
      • Контакты
      • +7 800 350-11-52
        • Назад
        • Телефоны
        • +7 800 350-11-52
        • +7 495 108-71-52
        • Заказать звонок
      info@data-sec.ru
      info@data-sec.ru
      • Главная
      • Ликбез
      • Угрозы безопасности персональных данных

      Угрозы безопасности персональных данных

      Угрозы безопасности персональных данных

      Угрозы безопасности — это некая совокупность условий или воздействующих факторов, которые создают опасность в отношении персональных данных, заключающуюся в ознакомлении посторонних лиц с защищаемыми персональными данными, несанкционированном изменении, уничтожении, распространении, а также других неправомерных действий с персональными данными.

      Источниками угроз безопасности персональных данных могут являться как внутренние нарушители, то есть собственные сотрудники, так и внешние нарушители, использующие в качестве реализации угрозы каналы связи, компьютерные сети и Интернет. Кроме того, угрозы безопасности могут возникать при внедрении в информационную систему вредоносных программ и вирусов.

      Способами реализации угроз безопасности могут быть несанкционированный доступ к информации, утечка по техническим каналам, а также специальные воздействия на персональные данные либо информационную систему.

      Угрозы несанкционированного доступа к персональным данным, обрабатываемым в информационной системе, могут осуществляться при помощи программных и аппаратно-программных средств. При этом происходит нарушение режима конфиденциальности в отношении персональных данных путем их неправомерного копирования и/или распространения. Также защищаемые персональные данные могут быть изменены или уничтожены нарушителем, что может также повлечь собой значительные последствия. В ходе реализации угрозы несанкционированного доступа могут быть созданы нештатные режимы работы операционной среды или программного обеспечения, которые возможно будут использованы нарушителем для кражи информации либо воздействия на нее извне.

      При реализации угрозы безопасности злоумышленником могут использоваться различные уязвимости, в том числе недостаточный уровень защиты, несовершенство системного и прикладного программного обеспечения, а также протоколов сетевого взаимодействия информационной системы.

      Другим видом угроз безопасности персональных данных являются угрозы, реализуемые при помощи технических каналов, таких как утечка речевой, видовой информации, содержащей персональные данные, утечка персональных данных, обрабатываемых в информационных системах, по каналу электромагнитных излучений и наводок (ПЭМИН). Такие угрозы как правило рассматриваются в отношении информационных систем высшего класса, в которых обрабатываются специальные категории персональных данных, касающиеся национальной и расовой принадлежности человека, его религиозных либо философских убеждений, здоровья и интимной жизни. В соответствии с требованиями законодательства для информационных систем разрабатывается специальная модель угроз, при составлении которой анализируются отдельные уязвимости и угрозы, вычисляется их актуальность, определяется достаточность существующих и необходимость дополнительных методов и средств защиты.

      Базовая модель угроз безопасности персональных данных (утв. Приказом ФСТЭК от 15 февраля 2008г.)

      Предоставляя свои персональные данные для хранения, использования, изменения и т.д., субъект рассчитывает на то, что они будут защищены от несанкционированного доступа, применения, распространения и уничтожения. Чтобы обеспечить безопасность, операторы ПДн обязаны спроектировать систему противодействия атакам нарушителей, а для этого, прежде всего, необходимо определить, от кого и каких действий опасаться. Мировая и российская практики показывают, что наиболее результативными являются те СЗПДн, которые созданы на основе детально проработанных угроз. Определиться с факторами, способными привести к нарушению безопасности, можно только разобравшись, какие угрозы ПДн существуют, а также какие у них могут быть источники.

      Что собой представляют УБПДн?

      Любая организация, ИП или физическое лицо, чья деятельность связана с обработкой частных сведений российских граждан, рискует столкнуться со злоумышленниками, которые стремятся их получить, изменить, уничтожить либо передать третьим лицам без соответствующего разрешения владельца.

      В рамках функционирования ИСПДн угрозы персональным данным — это всевозможные условия и факторы, способные при определенных обстоятельствах вызвать их утечку или неправомерное использование либо воздействие. Кроме очевидных ситуаций, когда речь идет, например, о промышленном шпионаже, в данную категорию входят случаи неосознанного распространения информации либо передачи конфиденциальных сведений посторонним сотрудниками предприятия. Задача руководства, а точнее, уполномоченных лиц либо привлеченных специалистов, состоит в поиске «лазеек» в системе безопасности ПДн и в дальнейшем принятии мер по их устранению. Важно понимать, что выявление УБПДн не говорит о том, что кража или потеря сведений гарантированно произойдет. Это свидетельствует о том, что присутствует вероятность возникновения опасных ситуаций, которые следует предотвратить.

      Заказать разработку документов по персональным данным, в комплект которых входят частные модели угроз

      Классификация угроз безопасности персональных данных

      Для каждого из существующих видов информационных систем ПДн требуется создание особой модели факторов риска. При этом количество обстоятельств и действий, способных тем или иным способом влиять на их функционирование, очень велико. Облегчить выявление опасностей позволяет их разделение по следующим признакам:

      1. По разновидности источников выделяют возникающие из-за свойств используемых технических средств, стихийных явлений, действий персонала либо посторонних лиц посредством международных и внутрироссийских сетей. Отдельную группу составляют угрозы ПД, спровоцированные вирусами и аппаратными закладками. Примечательно, что не существует четких инструкций по обнаружению недекларированных опций, что заставляет операторов действовать на свой страх и риск. Наиболее безопасный вариант — пользоваться лицензированными программами серийного выпуска с многочисленными положительными отзывами от экспертов (хотя 100% гарантии отсутствия неуказанных функций никто не даст).
      2. По используемому способу реализации. Оценить факторы риска можно через специальное воздействие, утечку по техническим каналам, в результате НСД.
      3. По типу ИСПДн. В данном случае принято выделять не подробные списки, а классы в зависимости от структуры, которая подвергается опасности. Различают УБ, касающиеся операций в локальных ИС, на автоматизированных рабочих местах и в распределенных системах.
      4. По совершаемым несанкционированным действиям. Здесь принято выделять угрозы, которые при отсутствии прямого воздействия на содержание сведений приводят к нарушению конфиденциальности ПДн.
      5. По уязвимости. Риски могут быть обусловлены системным прикладным программным обеспечением, протоколами сетевого обмена, недостаточно тщательно проработанными техническими каналами средствами информационной защиты.
      6. По тому, на какой объект осуществляется воздействие — на АРМ, сети связи, системный софт, прикладные утилиты, выделенные средства работы с информацией.

      Какие выделяют источники угроз безопасности персональных данных?

      Определение каналов и причин, приводящих к НСД и неправомерным действиям, имеет первоочередное значение, и с этого нужно начинать при построении модели УБПДн. Всего есть три типа источников, каждый из которых имеет свои особенности.

      Антропогенные

      Личность (субъектов может быть несколько), которая имеет возможность совершать операции с конфиденциальной информацией. Доступ может быть как санкционированным, так и несанкционированным. В эту группу входят следующие источники угроз персональных данных:

      1. Внешние — поставщики услуг, работники контролирующих государственных органов и аварийных служб, а также хакеры, представители конкурирующих организаций. Их действия могут быть преднамеренными, то есть направленными на получение сведений, или неспециальными, например, если утечка происходит в результате технического сбоя или непрофессионального составления проекта информационной системы.
      2. Внутренние — штатные сотрудники, в частности, работники программного отдела, кадровой службы, техперсонал или представители СБ компании. В процессе своей деятельности они могут подвергать СЗПДн опасности из-за некомпетентности и ошибочных действий, применения неучтенного софта, искажения и уничтожения компонентов программ, предоставления доступа неуполномоченным лицам или игнорирования правил хранения ПДн. Причиной утечки может стать также самовольное изменение параметров системы защиты и замалчивание фактов потери информации, находящейся в ограниченном доступе (паролей, ключей и т.д.).

      Стихийные

      Наиболее сложно прогнозируемые ввиду огромного разнообразия, причин возникновения и способов проявления. Преимущественно это те факторы, на которые оператор никаким образом не способен повлиять:

      • наводнения;
      • цунами;
      • пожары;
      • ураганы;
      • оползни;
      • радиационные катастрофы;
      • военные конфликты.

      Техногенные

      Эти источники обусловлены применяемыми техническими средствами и бывают двух разновидностей:

      • внутренние — это аппаратные закладки, вирусы и прочие вредоносные программы, системы охраны и сигнализации, низкокачественный софт и оборудование, задействованное в процессе обработки персональных данных;
      • внешние — составляющие инфраструктурного назначения, например, линии телефонной и интернет-связи, системы отопления, канализации, водоснабжения, газоснабжения.

      Обеспечение защиты операций с ПДн

      Выявленные угрозы безопасности персональных данных — это то, что дает возможность в дальнейшем принять меры профилактики и быстрого реагирования. Без определения факторов риска невозможно привести бизнес в соответствие с требованиями Роскомнадзора, ФСБ и ФСТЭК, а за нарушение нормативов ФЗ-152 предусмотрены различные виды ответственности.

      Пренебрегать выявлением потенциальных опасностей однозначно не стоит, но и поручать эту работу непрофессионалам нельзя. Тут нужны специалисты именно по обеспечению безопасности ПДн, которые разбираются в законодательных требованиях, технических и организационных аспектах. Если в штате их нет, то есть смысл привлечь наших сотрудников в формате аутсорсинга. Так вы существенно сэкономите время и ресурсы на составление моделей угроз, а также сможете быть уверенными в отсутствии возможных претензий со стороны надзорных органов.


      Теги
      угрозы
      • Prev
      • Next
      Другие статьи Ликбеза
      • Что такое персональные данные?
        Что такое персональные данные?
      • Виды персональных данных
        Виды персональных данных
      • Зачем защищать персональные данные?
        Зачем защищать персональные данные?
      • Штрафы в области персональных данных в 2023 году
        Штрафы в области персональных данных в 2023 году
      • Как защищать персональные данные?
        Как защищать персональные данные?
      • Автоматизированная и неавтоматизированная обработка персональных данных
        Автоматизированная и неавтоматизированная обработка персональных данных
      • Обработка персональных данных без использования средств автоматизации
        Обработка персональных данных без использования средств автоматизации
      • Обработка персональных данных с использованием средств автоматизации
        Обработка персональных данных с использованием средств автоматизации
      • Типы угроз персональных данных
        Типы угроз персональных данных
      • Актуальные угрозы безопасности персональных данных
        Актуальные угрозы безопасности персональных данных
      • Методика определения актуальных угроз безопасности персональных данных
        Методика определения актуальных угроз безопасности персональных данных
      • Банк данных угроз безопасности информации
        Банк данных угроз безопасности информации
      • Модель угроз безопасности персональных данных
        Модель угроз безопасности персональных данных
      • Классификация информационных систем персональных данных (отменена)
        Классификация информационных систем персональных данных (отменена)
      • Информационная система типовая или специальная?
        Информационная система типовая или специальная?
      • Уведомление Роскомнадзора об обработке персональных данных
        Уведомление Роскомнадзора об обработке персональных данных
      • Образец уведомления об обработке персональных данных
        Образец уведомления об обработке персональных данных
      • Уведомление об изменении данных в Роскомнадзор
        Уведомление об изменении данных в Роскомнадзор
      • Уведомление о прекращении обработки персональных данных
        Уведомление о прекращении обработки персональных данных
      • Аттестация информационных систем персональных данных
        Аттестация информационных систем персональных данных

      Услуги
      Базовый экспресс-анализ
      Базовый экспресс-анализ
      Необходимо ли вашей организации выполнять требования закона №152-ФЗ «О персональных данных»? Что необходимо сделать чтобы пройти проверку и не получить штраф? Проанализируем бесплатно!
      Индивидуальный проект
      Индивидуальный проект
      Индивидуальный проект включает разработку и внедрение защищенной системы обработки персональных данных с учетом особенностей вашей организации
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Ликбез по персональным данным
      • Штрафы за нарушения
      • Статьи и публикации
      • Вопросы и ответы
      • Новости о ПДн
      • Законодательство
      Приведение в соответствие 152-ФЗ
      Всегда рядом
      Всегда рядом Оказываем услуги дистанционно на всей территории России
      Цены сбалансированы
      Цены сбалансированы Индивидуальный подход при формировании стоимости работ
      Привлекательные сроки
      Привлекательные сроки Приведение обработки ПДн в соответствие 152-ФЗ – от 10 рабочих дней
      Огромный опыт
      Огромный опыт На рынке защиты персональных данных с 2011 года
      Компания
      О компании
      История
      Лицензии и сертификаты
      Клиенты
      Партнеры
      Вакансии
      Контактная информация
      Услуги
      Персональные данные
      Конфиденциальная информация
      Защищенные приложения
      Средства защиты информации
      General Data Protection Regulation
      Консалтинг и обучение
      Стоимость услуг
      Информация
      Ликбез по персональным данным
      Штрафы за нарушения
      Статьи и публикации
      Вопросы и ответы
      Новости о ПДн
      Законодательство
      Карта сайта
      Мессенджеры для связи:
      Наши контакты:

      +7 800 350-11-52
      +7 495 108-71-52
      Пн - Пт: с 8:00 до 17:00
      info@data-sec.ru
      Пользовательское соглашение  ⋅  Политика обработки персональных данных  ⋅  Заявление о конфиденциальности  ⋅  Файлы «Cookie»  ⋅  Правила копирования материалов  ⋅  Письмо директору
      © 2011–2023 Центр безопасности данных

      О файлах «Cookie»

      Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на размещение файлов «Cookie»

      Подробнее