Угрозы безопасности — это некая совокупность условий или воздействующих факторов, которые создают опасность в отношении персональных данных, заключающуюся в ознакомлении посторонних лиц с защищаемыми персональными данными, несанкционированном изменении, уничтожении, распространении, а также других неправомерных действий с персональными данными.
Источниками угроз безопасности персональных данных могут являться как внутренние нарушители, то есть собственные сотрудники, так и внешние нарушители, использующие в качестве реализации угрозы каналы связи, компьютерные сети и Интернет. Кроме того, угрозы безопасности могут возникать при внедрении в информационную систему вредоносных программ и вирусов.
Способами реализации угроз безопасности могут быть несанкционированный доступ к информации, утечка по техническим каналам, а также специальные воздействия на персональные данные либо информационную систему.
Угрозы несанкционированного доступа к персональным данным, обрабатываемым в информационной системе, могут осуществляться при помощи программных и аппаратно-программных средств. При этом происходит нарушение режима конфиденциальности в отношении персональных данных путем их неправомерного копирования и/или распространения. Также защищаемые персональные данные могут быть изменены или уничтожены нарушителем, что может также повлечь собой значительные последствия. В ходе реализации угрозы несанкционированного доступа могут быть созданы нештатные режимы работы операционной среды или программного обеспечения, которые возможно будут использованы нарушителем для кражи информации либо воздействия на нее извне.
При реализации угрозы безопасности злоумышленником могут использоваться различные уязвимости, в том числе недостаточный уровень защиты, несовершенство системного и прикладного программного обеспечения, а также протоколов сетевого взаимодействия информационной системы.
Другим видом угроз безопасности персональных данных являются угрозы, реализуемые при помощи технических каналов, таких как утечка речевой, видовой информации, содержащей персональные данные, утечка персональных данных, обрабатываемых в информационных системах, по каналу электромагнитных излучений и наводок (ПЭМИН). Такие угрозы как правило рассматриваются в отношении информационных систем высшего класса, в которых обрабатываются специальные категории персональных данных, касающиеся национальной и расовой принадлежности человека, его религиозных либо философских убеждений, здоровья и интимной жизни. В соответствии с требованиями законодательства для информационных систем разрабатывается специальная модель угроз, при составлении которой анализируются отдельные уязвимости и угрозы, вычисляется их актуальность, определяется достаточность существующих и необходимость дополнительных методов и средств защиты.
Предоставляя свои персональные данные для хранения, использования, изменения и т.д., субъект рассчитывает на то, что они будут защищены от несанкционированного доступа, применения, распространения и уничтожения. Чтобы обеспечить безопасность, операторы ПДн обязаны спроектировать систему противодействия атакам нарушителей, а для этого, прежде всего, необходимо определить, от кого и каких действий опасаться. Мировая и российская практики показывают, что наиболее результативными являются те СЗПДн, которые созданы на основе детально проработанных угроз. Определиться с факторами, способными привести к нарушению безопасности, можно только разобравшись, какие угрозы ПДн существуют, а также какие у них могут быть источники.
Что собой представляют УБПДн?
Любая организация, ИП или физическое лицо, чья деятельность связана с обработкой частных сведений российских граждан, рискует столкнуться со злоумышленниками, которые стремятся их получить, изменить, уничтожить либо передать третьим лицам без соответствующего разрешения владельца.
В рамках функционирования ИСПДн угрозы персональным данным — это всевозможные условия и факторы, способные при определенных обстоятельствах вызвать их утечку или неправомерное использование либо воздействие. Кроме очевидных ситуаций, когда речь идет, например, о промышленном шпионаже, в данную категорию входят случаи неосознанного распространения информации либо передачи конфиденциальных сведений посторонним сотрудниками предприятия. Задача руководства, а точнее, уполномоченных лиц либо привлеченных специалистов, состоит в поиске «лазеек» в системе безопасности ПДн и в дальнейшем принятии мер по их устранению. Важно понимать, что выявление УБПДн не говорит о том, что кража или потеря сведений гарантированно произойдет. Это свидетельствует о том, что присутствует вероятность возникновения опасных ситуаций, которые следует предотвратить.
Классификация угроз безопасности персональных данных
Для каждого из существующих видов информационных систем ПДн требуется создание особой модели факторов риска. При этом количество обстоятельств и действий, способных тем или иным способом влиять на их функционирование, очень велико. Облегчить выявление опасностей позволяет их разделение по следующим признакам:
- По разновидности источников выделяют возникающие из-за свойств используемых технических средств, стихийных явлений, действий персонала либо посторонних лиц посредством международных и внутрироссийских сетей. Отдельную группу составляют угрозы ПД, спровоцированные вирусами и аппаратными закладками. Примечательно, что не существует четких инструкций по обнаружению недекларированных опций, что заставляет операторов действовать на свой страх и риск. Наиболее безопасный вариант — пользоваться лицензированными программами серийного выпуска с многочисленными положительными отзывами от экспертов (хотя 100% гарантии отсутствия неуказанных функций никто не даст).
- По используемому способу реализации. Оценить факторы риска можно через специальное воздействие, утечку по техническим каналам, в результате НСД.
- По типу ИСПДн. В данном случае принято выделять не подробные списки, а классы в зависимости от структуры, которая подвергается опасности. Различают УБ, касающиеся операций в локальных ИС, на автоматизированных рабочих местах и в распределенных системах.
- По совершаемым несанкционированным действиям. Здесь принято выделять угрозы, которые при отсутствии прямого воздействия на содержание сведений приводят к нарушению конфиденциальности ПДн.
- По уязвимости. Риски могут быть обусловлены системным прикладным программным обеспечением, протоколами сетевого обмена, недостаточно тщательно проработанными техническими каналами средствами информационной защиты.
- По тому, на какой объект осуществляется воздействие — на АРМ, сети связи, системный софт, прикладные утилиты, выделенные средства работы с информацией.
Какие выделяют источники угроз безопасности персональных данных?
Определение каналов и причин, приводящих к НСД и неправомерным действиям, имеет первоочередное значение, и с этого нужно начинать при построении модели УБПДн. Всего есть три типа источников, каждый из которых имеет свои особенности.
Антропогенные
Личность (субъектов может быть несколько), которая имеет возможность совершать операции с конфиденциальной информацией. Доступ может быть как санкционированным, так и несанкционированным. В эту группу входят следующие источники угроз персональных данных:
- Внешние — поставщики услуг, работники контролирующих государственных органов и аварийных служб, а также хакеры, представители конкурирующих организаций. Их действия могут быть преднамеренными, то есть направленными на получение сведений, или неспециальными, например, если утечка происходит в результате технического сбоя или непрофессионального составления проекта информационной системы.
- Внутренние — штатные сотрудники, в частности, работники программного отдела, кадровой службы, техперсонал или представители СБ компании. В процессе своей деятельности они могут подвергать СЗПДн опасности из-за некомпетентности и ошибочных действий, применения неучтенного софта, искажения и уничтожения компонентов программ, предоставления доступа неуполномоченным лицам или игнорирования правил хранения ПДн. Причиной утечки может стать также самовольное изменение параметров системы защиты и замалчивание фактов потери информации, находящейся в ограниченном доступе (паролей, ключей и т.д.).
Стихийные
Наиболее сложно прогнозируемые ввиду огромного разнообразия, причин возникновения и способов проявления. Преимущественно это те факторы, на которые оператор никаким образом не способен повлиять:
- наводнения;
- цунами;
- пожары;
- ураганы;
- оползни;
- радиационные катастрофы;
- военные конфликты.
Техногенные
Эти источники обусловлены применяемыми техническими средствами и бывают двух разновидностей:
- внутренние — это аппаратные закладки, вирусы и прочие вредоносные программы, системы охраны и сигнализации, низкокачественный софт и оборудование, задействованное в процессе обработки персональных данных;
- внешние — составляющие инфраструктурного назначения, например, линии телефонной и интернет-связи, системы отопления, канализации, водоснабжения, газоснабжения.
Обеспечение защиты операций с ПДн
Выявленные угрозы безопасности персональных данных — это то, что дает возможность в дальнейшем принять меры профилактики и быстрого реагирования. Без определения факторов риска невозможно привести бизнес в соответствие с требованиями Роскомнадзора, ФСБ и ФСТЭК, а за нарушение нормативов ФЗ-152 предусмотрены различные виды ответственности.
Пренебрегать выявлением потенциальных опасностей однозначно не стоит, но и поручать эту работу непрофессионалам нельзя. Тут нужны специалисты именно по обеспечению безопасности ПДн, которые разбираются в законодательных требованиях, технических и организационных аспектах. Если в штате их нет, то есть смысл привлечь наших сотрудников в формате аутсорсинга. Так вы существенно сэкономите время и ресурсы на составление моделей угроз, а также сможете быть уверенными в отсутствии возможных претензий со стороны надзорных органов.