Определение уровня защищенности персональных данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: определение уровня защищенности персональных данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Определение уровня защищенности персональных данных

Определение уровня защищенности ИСПДн

Вами были указаны следующие параметры:

Тип актуальных угроз —

Категория ПДн — иные

Персональные данные общедоступные

Число субъектов ПДн которых обрабатываются — меньше 100 000

Персональные данные сотрудников — не обрабатываются

Уровень защищенности — 0

Требования по защищенности для 0 уровня (в соответствии с Постановлением Правительства «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012г. №1119)

© 2011-2019 «Практическая защита персональных данных»

Источник: http://pdsec.ru/find-level.php

Определение уровня защищенности персональных данных

Практическая защита
персональных данных

Определение уровня защищенности ИСПДн

1 ноября утверждено постановление правительства №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

В соответствии с постановлением, требования по защите персональных данных в ИСПДн зависят от уровня защищенности ИСПДн.

Для определения уровня защищенности необходимо выделить ряд параметров ИСПДн, описанных ниже.

Все ИСПДн по категориям обрабатываемых данных делятся на:

— обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
— обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
— обрабатывающие иные персональных данных.

Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников).

Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.

В постановлении приведены три типа актуальных угроз.

1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
2 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей

При этом в документе не дается указаний на способы выявления недекларированных возможностей программного обеспечения. Это привело к наличию различных точек зрения на этот вопрос.

Мы рекомендуем Вам руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть высокая вероятность наличия недокументированных функций, способных нанести вред.

На основании указанных выше критериев определяется уровень защищенности ИСПДн. Для этого рекомендуем Вам воспользоваться формой приведенной ниже

Определение уровня защищенности

© 2017 «Практическая защита персональных данных»

Источник: http://pdsec.ru/new/mmenu.php?id=341

Уровни защищенности персональных данных вместо классов

Постановление Правительства РФ №1119 от 01.11.2012 г. похоронило уже ставшими всем привычными классы информационных систем персональных данных.

В место классов, согласно новому постановлению, устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от типа персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Информационные системы персональных данных (ИСПДн), согласно 5 пункту Постановления №1119 подразделяются на 4 группы:

    Cпециальные ИСПДн

если в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

если в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами, обработка подразделяется на 2 вида:

  • обработка персональных данных сотрудников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся сотрудниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, Постановлением №1119 определены только 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
Читайте так же:  Документ дающий право подписи

К ак установить тип актуальных угроз не регламентировано. Требования ПП-1119 не предлагают никаких методов и способов их нейтрализации. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно — придется обращаться в вышестоящую организацию или к консультанту. Проще всего пойти по пути наименьшего сопротивления, т.е. определить тип актуальной угрозы 3 типа, и забыть про недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, но это необходимо будет обосновать. Весь вопрос как?, возвращаясь к началу абзаца.
Тема актуальности угроз информационных систем персональных данных очень важна, ведь от правильно описанных угроз зависит насколько грамотно будет защищена система, а также сколько будет стоить защита для оператора персональных данных.

Е сли Вы определились с исходными данными для конкретной ИСПДн, в том числе типом актуальных угроз, то можете определить её уровень защищенности. Для удобства определения уровня защищенности воспользуйтесь следующей таблицей, которая сделана на основе ПП-1119:

Тип актуальных угроз


Нет > 100 000 УЗ-1 УЗ-1 УЗ-2

Нет 100 000 УЗ-1 УЗ-2 УЗ-3 Нет 100 000 УЗ-2 УЗ-2 УЗ-4 Нет В зависимости от выбранного уровня защищенности ПДн, ПП-1119 определены ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

О пределившись с требованиями по защите персональных данных в соответствии с ПП-1119, можно переходить к выбору организационных и технических мер по обеспечению безопасности персональных данных, исходя из требований Приказа ФСТЭК России №21 от 18.02.2013г., направленных на нейтрализацию актуальных угроз безопасности персональных данных.

Ч то делать со средствами защиты информации, сетификаты на которые были выданы ранее для определённых классов ИСПДн?

Источник: http://www.rskb48.ru/stati/urovni.html

№ 11. Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Источник: http://data-sec.ru/personal-data/protection-level/

Как определить уровень защищенности ПДн?

Регулярно приходится слышать вопросы о том, как определить уровень защищенности ПДн? Казалось бы, все написано в ПП-1119, но нет, вопросы все равно остаются. Надо ли учитывать НДВ или нет? На каком уровне НДВ у нас могут быть? Чем угроза отличается от типа угроз? Почему классификация ИСПДн по классам К1-К4 больше невозможна?

В принципе, ответы на все эти вопросы я уже давал в блоге. Но там они были разрозненны и не сведены воедино. А там, где были доступны презентации, не все могли из нее подчерпнуть, что я конкретно имел ввиду. Поэтому решил освоить новый формат — слайдкаст — презентация с озвучкой. Вчера я выложил слайдкаст по проекту требований ЦБ по защите информации для организаторов торговли (бирж). Сегодня пришло время для слайдкаста по определению уровня защищенности ПДн.

Читайте так же:  Виды судебно экономических экспертиз

Кстати. Раз уж заметка посвящена ПДн, то не могу не включить в нее ссылку на относительно свежий нормативный акт, который не стоит отдельного описания, но и забывать про него тоже не нужно. Речь об Указе Президента от 24 ноября 2014-го года №735 «О сборе биометрических персональных данных иностранных граждан и лиц без гражданства».

Источник: http://www.securitylab.ru/blog/personal/Business_without_danger/123451.php

Акт определения уровня защищенности ПДн при их обработке в ИСПДн

«Комиссия, рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «********»в соответствии с Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и учетом приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», определила:»

  1. Категории персональных данных, обрабатываемых в информационной системе. Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические, специальные. Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.
  2. Объём обрабатываемых персональных данных. Здесь все просто, либо менее 100 000, либо более 100 000.
  3. Угрозы, актуальные для информационной системы. Опять таки, типы угроз расписаны в ПП 1119. И также по тексту описываем, какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.
  4. Тип субъектов персональных данных, обрабатываемых в информационной системе. Тоже все просто. Это либо только сотрудники оператора, либо нет. Также лучше пояснить, что значит «сотрудники оператора». Вам не сложно, а у регулятора меньше поводов зацепиться.
  5. К специальной или типовой относится ИСПДН. Здесь также лучше расписать, по каким критериям происходит отнесение. Только это уже берется не из ПП 1119, а из «трехглавого» приказа №55/86/20.
  6. Структуру ИСПДн (автономная, локальная, распределенная)
  7. Имеются ли подключения ИСПДн к сетям общего пользования
  8. Режим обработки ПДн в ИСПДн (однопользовательский или многопользовательский)
  9. Имеется ли разграничение доступа
  10. Территориальное расположение ИСПДн (Целиком в пределах РФ или нет)

По результатам анализа исходных данных, а также основываясь на модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных «********», в информационной системе «********» требуется обеспечение Х уровня защищенности персональных данных.

Источник: http://bis-expert.ru/blog/5140/43203

Насколько безопасно хранятся личные сведения и как определить уровень защищенности персональных данных?

Опорный законодательный акт в сфере защиты персональных данных в Российской Федерации – закон №152 от 27 июля 2006 «О персональных данных». Согласно ст.19 документа, уровни защищенности, требования к защите информации и ее материальных носителей, устанавливает Правительство РФ. Правительственные акты с момента выхода закона несколько раз обновлялись и актуализировались. По состоянию на апрель 2018 года операторы руководствуются постановлением №1119, которое было опубликовано 1 ноября 2012 года.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Основные понятия

Видео (кликните для воспроизведения).

Уровень защищенности – это совокупность анализа потенциальных угроз для информационных систем, обрабатывающих личные сведения работников, контрагентов, клиентов или партнеров компании-оператора, рисков для самих субъектов данных в случае несанкционированного доступа, и технических и организационных мер, предпринимаемых оператором для защиты.

Другими словами, уровень защищенности — это соотношение рисков и адекватных им мер реагирования. Градация уровней зависит от количества и категорий лиц, чьи данные обрабатываются, вида отношений между субъектами и операторами (трудовые, договорные), и актуальных угроз для конкретной информационной системы. Угрозы, в свою очередь, разделены на три типа:

  1. Включает в себя риски, в том числе недокументированные, которые могут возникнуть в системном программном обеспечении.
  2. Относится к опасностям (декларированным и нет), которые могут быть вызваны прикладным ПО, использующимся информационной системой.
  3. Обобщает риски, не связанные с недокументированными возможностями системного или прикладного ПО.

Акт определения мер электронной безопасности и классификации информационных систем

Локальный документ предприятия, который обобщает результаты анализа материально-технической, организационной и правовой готовности к обработке персональных данных, предотвращению угроз и реагированию на потенциальные риски, называется Акт определения уровня защищенности персональных данных и классификации.

Документ составляется комиссией должностных лиц, чья служебная деятельность связана с обработкой и защитой персональных данных. Состав комиссии утверждается приказом по предприятию и зачастую включает руководителей и специалистов кадрового отдела, бухгалтерии, службы делопроизводства и IT-обеспечения. В самой комиссии должны быть назначены председатель, заместитель, и секретарь. Эти сотрудники осуществляют проведение классификации информационных систем согласно определенному порядку.

Читайте так же:  Прокуратура отдел по делам несовершеннолетних

Документ строится в следующей последовательности:

  1. Название акта. Наименование документа пишется по центру, можно в верхнем регистре, более крупным или жирным шрифтом.
  2. Вводная информация. В первом абзаце содержатся сведения о составе комиссии, целях и основаниях ее деятельности. Используется шаблонная формулировка, например: «Комиссия в составе председателя Иванова, заместителя Петрова, секретаря Сидорова и членов комиссии Сергеева и Федорова, согласно приказу генерального директора ООО «АБВ», во исполнение постановления Правительства РФ №1119 от 01.11.2012 г., определила …».
  3. Категории данных. Постановление классифицирует четыре типа личных сведений: общедоступные, биометрические, специальные и иные. К общедоступным относятся данные, взятые для обработки из открытых источников. Биометрические содержат информацию о физиологических особенностях субъекта, по которым его можно идентифицировать.

Специальные категории – сведения о расе, национальной принадлежности, политических и религиозных взглядах, личной жизни. В категорию иные отнесены сведения, не подпадающие под остальные типы. Выбирая категории, обратите внимание, что потребность во всего одном виде, допустим, специальных данных, относит вашу информационную систему к этой категории.

  • Объем данных. Менее 100 тысяч субъектов, или более 100 тысяч.
  • Угрозы. Выберите свой тип угроз, согласно приведенной выше правительственной классификации.
  • Количество степеней доступа

    Постановление правительства выделяет всего четыре уровня защищенности. Каждый соответствует набору технических и организационных мер, которые обязательно должны быть внедрены для обеспечения порядка и безопасности информационной базы. Приказ ФСТЭК также регламентирует требования к классу оборудования, используемого для предупреждения угроз на каждой ступени.

    Деление мер электронной безопасности в зависимости от угроз

    1. Первый уровень необходим для систем, которые подвержены 1-му типу угроз, обрабатывающих специальные, биометрические или иные данные, или для систем с рисками 2-го типа, в которых обрабатываются специальные данные более 100 тысяч субъектов – не сотрудников компании-оператора.
    2. Второй установлен для систем, работающих с любым количеством общедоступных данных при 1 типе опасностей. Для систем, подверженных угрозам 2 типа, в которых обрабатываются специальные данные сотрудников компании и информация третьих лиц в объеме менее 100 тысяч субъектов, биометрические данные, общедоступная информация или иные сведения о более чем 100 тысячах субъектов, не являющихся сотрудниками предприятия.

    Для систем, подверженных угрозам 3 типа, работающих со специальными категориями информации более чем 100 тысяч субъектов – не сотрудников.
    Третий устанавливается для систем с угрозами 2 типа, в которых обрабатываются общедоступные или иные сведения о менее чем 100 тысячах субъектов, работающих в компании или нет.

    Систем, подверженных угрозам 3 типа, работающих со специальной или иной информацией менее чем 100 тысяч субъектов, не работающих в компании, с биометрическими данными любого количества субъектов, иными сведениями о более чем 100 тысячах субъектов – не сотрудников.

  • Четвертый уровень распространяется на информационные базы с 3 типом угроз, в которых обрабатываются общедоступные сведения любого количества субъектов, или иные категории информации о сотрудниках и третьих лицах, в объеме меньше 100 тысяч субъектов.
  • Для удобства определения нужного уровня, представим данные в таблице.

    Типы угроз/ уровень защищенности Категории данных Категории субъектов Объем
    1 2 3
    1УЗ 1УЗ 2УЗ Специальные Третьи лица от 100 тыс.
    1УЗ 2УЗ 3УЗ до 100 тыс.
    1УЗ 2УЗ 3УЗ Персонал любой
    1УЗ 2УЗ 3УЗ Биометрические Третьи лица от 100 тыс.
    1УЗ 2УЗ 3УЗ до 100 тыс.
    1УЗ 2УЗ 3УЗ Персонал любой
    1УЗ 2УЗ 3УЗ Иные Третьи лица от 100 тыс.
    1УЗ 3УЗ 4УЗ до 100 тыс.
    1УЗ 3УЗ 4УЗ Персонал любой
    2УЗ 2УЗ 4УЗ Общедоступные Третьи лица от 100 тыс.
    2УЗ 3УЗ 4УЗ до 100 тыс.
    2УЗ 3УЗ 4УЗ Персонал любой

    Как определить степень доступа с помощью таблицы?

    Для определения нужной степени защищенности обобщите перечисленные в акте сведения и составьте свой аналог таблицы уровней.

    Предположим, что оператор обрабатывает биометрическую и общедоступную информацию о собственных сотрудниках в количестве менее 100 тысяч человек и общедоступные и иные категории данных третьих лиц, в объеме свыше 100 тысяч человек, при 2 типе угроз. Тогда определение уровня защищенности будет выглядеть следующим образом:

    Уровень защищенности Тип угроз Категории данных Категории субъектов Объем
    2 УЗ 2 Биометрические Персонал до 100 тыс.
    2 УЗ 2 Иные Третьи лица от 100 тыс.
    2 УЗ 2 Общедоступные Третьи лица от 100 тыс.
    3 УЗ Персонал до 100 тыс.

    Так как предполагаемая система одна, выбираем более высокий уровень защиты – второй. Требования к мерам безопасности уровней идут по нарастающей, от четвертого к первому. Для второго обязательно:

    • обеспечение охраны носителей и помещения, где расположено оборудование с базами данных;
    • использование средств защиты, прошедших процедуру оценки соответствия требованиям законодательства;
    • назначение ответственного за безопасность персональных данных должностного лица;
    • определение перечня лиц, имеющих доступ к системе и данным;
    • доступ к информации электронного журнала сообщений открыт только должностным лицам.

    Процедура определения уровня защищенности систем персональных данных – основополагающий элемент в работе компании с персональными данными. Она охватывает правовую, организационную и техническую сторону защиты информации, и прямо предопределяет успех прохождения последующих проверок.

    Читайте так же:  Оружие с резиновыми пулями без разрешения

    Отнестись к определению уровня и внедрению соответствующих требований следует со всей серьезностью. Если компания-оператор не имеет собственных специалистов достаточной квалификации, разумно будет прибегнуть к субподряду.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/uroven-zashhishhennosti.html

    Понятие актуальных угроз безопасности персональных данных — методика определения, модели

    Персональные данные обрабатываются в Информационных системах персональных данных (ИСПД). На операторов, работающих с информацией персонального характера (ПДн), налагаются обязательства обеспечивать конфиденциальность ведомостей о физических лицах.

    Для защиты информации и своевременной реакции на потенциальные и реальные информационные угрозы, правительство России разработало специализированную методику определения опасных для сведений конфиденциального характера факторов.

    В материале мы расскажем, о том, какие существуют угрозы, как в России определяются актуальные и не актуальные потенциально опасные факторы, а также покажем пример частной модели угроз безопасности ПД.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

    Основные понятия

    Безопасность

    Её определение содержится в законе РФ «О безопасности» №390-ФЗ от 28.12.2010. Под безопасностью понимается состояние, при котором жизненно важные интересы человека, гражданского общества и России, защищены от разнообразных угроз.

    В законе также уточняется, что основными объектами безопасности выступают – гражданин, его права и свободы, а также общество, конституционный строй, конституционные характеристики государства.

    Таким образом, защита конфиденциальной информации физического лица в России закреплена в законе «О безопасности», поскольку обеспечение конфиденциальности сведений из разряда ПДн относится к стратегически важным интересам каждого гражданина.

    Угрозы

    По термином «угрозы» понимают совокупность условий и факторов, которые создают опасность жизненно важным интересам личности, общества либо же государства и являются угрозами безопасности.

    В документе «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных устройствах обработки персональных данных» дается следующее определение угрозам безопасности ПДн: перечень условий и факторов, создающих опасность несанкционированного, случайного или намеренного, доступа к ПДн.

    Результатом такого проникновения может стать уничтожение, изменение, копирование, распространение конфиденциальных ведомостей с непредсказуемыми последствиями (а подробнее о процессе уничтожения можно прочитать тут). Под актуальными подразумеваются угрозы, которые могут быть реализованы в конкретно взятой Информационной системе персональных данных (ИСПД) на территории страны.

    Классификации

    Угрозы информационной безопасности имеют множество классификаций.

    1. По мотивации угрозы разделяются на злонамеренные и незлонамеренные.
    2. По месту возникновения – на внешние и внутренние.
    3. По законченности – на реализованные и нереализованные.
    4. По объекту воздействия – угрозы, нацеленные на всю ИСПД и на конкретные ее части.

    Также угрозы делятся на:

    Если определенный потенциально опасный для информационного устройства фактор относится к актуальной (вероятной, возможной) угрозе, оператор должен предпринять ряд действий по защите сведений физлиц.

    Как определить тип потенциально опасных факторов?

    В ранее упоминаемой методике определения актуальных угроз содержится алгоритм проведения такой операции. Чтобы выяснить, какие факторы являются актуальными для ИСПД, необходимо проанализировать два фактора, а именно:

    1. Уровень защищенности самой системы.
    2. Частота реализации рассматриваемого фактора (ее вероятность).

    Для начала проводится экспертиза исходной защищенность изучаемой информационной сети. Для удобства проведения такого анализа используются обобщенные показатели, зависящие от конкретных технических и эксплуатационных характеристик.

      По территориальному размещению:
    • Низкий уровень защищенности: ИСПД, охватывающие несколько областей, округов, краев, административных единиц государство в целом, а также городские ИСПД (не выходящие за черту населенного пункта).
    • Средний уровень защищенности: корпоративные ИСПД, охватывающие разные предприятия, находящиеся в собственности одного юридического лица, локальные (размещенные в рядом стоящих зданиях).
    • Высокий уровень защищенности: размещенные в пределах одного здания.
  • По наличию соединения с сетями общего доступа (выход в интернет).
  • Наиболее защищенными (высокий уровень) считаются сети, которые отделены от сетей общего доступа, средний уровень защищённости присваивается ИСПД, которые предусматривают одноточечный выход в сеть. Если же в рамках единого устройства возможен многоточечный выход в сети общего доступа, ИСПД считается с низким уровнем безопасности по данному критерию.
    По встроенных (легальных) операциях.

    Высокий уровень присваивается системам, в которых встроено только две операции – чтение и поиск. Средним уровнем защищенности обладают ИСПД с такими легальными операциями:

    Наименьший уровень у устройств, предусматривающих легальное распространение (передачу) и модификацию (изменение) сведений.

    Подробнее об уровнях защиты и базовых моделях угроз безопасности ПД при их обработке в ИСПД читайте тут.

    Вторым фактором считается частота определенной угрозы. В России на законодательном уровне (Постановление Правительства РФ от 01.11.2012 №1119) в сфере защиты информации зафиксировано три вида актуальных угроз:

    • Актуальные, связанные с наличием недокументированных возможностей в программном обеспечении информационной системы.
    • Актуальные, связанные с наличием недокументированных возможностей в прикладном программном обеспечении информационной системы.
    • Актуальные, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении информационной системы.
    Читайте так же:  Оставить жалобу без рассмотрения суд

    Тип определяется в зависимости от комбинаций актуальности рисков в ИСПД. Самый высокий тип угроз – первый, самый низкий, соответственно, третий. Чтобы определить конкретный уровень понадобятся такие данные:

    • Y₁ – уровень исходной защищенности.
    • Y₂ – частота (вероятность) реализации изучаемой угрозы.

    Коэффициент реализуемости угрозы Y определяется так:

    Y = (Y₁ + Y₂ )/ 20.

    Результаты анализируются по алгоритму:

    1. Если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы признается низкой.
    2. Если 0,3 0,8, то возможность реализации риска признается очень высокой.

    После этого оценивается опасность конкретной угрозы при помощи опроса специалистов сфере информационных технологий. На основе полученных данных составляется таблица:

    Возможность реализации угрозы Показатель опасности угрозы
    Низкая Средняя Высокая
    Низкая Неактуальная Неактуальная Актуальная
    Средняя Неактуальная Актуальная Актуальная
    Высокая Актуальная Актуальная Актуальная
    Очень высокая Актуальная Актуальная Актуальная

    Модели

    Модель угроз («Базовая модель угроз безопасности ПДн во время их обработки в ИСПД») представляет собой автоматизированный перечень рисков с анализом первичных характеристик самой системы, указанием вероятных путей реализации рисков и типологией актуальности. Документ составляется для проведения анализа защищенности системы, разработки мер, препятствующих реализации угроз, контроля за обеспечением надлежащего уровня защищенности на разных этапах функционирования механизма.

    Частная модель угроз (созданная для конкретной ИСПД) включает в себя положения:

    • Описание анализируемой системы.
    • Ее структурные и технические особенности.
    • Модели нарушителей (возможные варианты вторжения).
    • Перечень уязвимостей ИСПД.
    • Перечень способов реализации угроз и их последствий.
    • Анализ угроз (описание, оценки вероятности, опасности и актуальности).

    Для составления собственной модели оператору персональных данных рекомендуется начать с анализа компании, в документе характеризуется информация, обрабатываемая в ИСПД, указываются цели сбора сведений и перечень операций, выполняемых с ПДн. Вписываются тех. особенности систем, пути получения данных и то, какие меры защиты реализованы.

    Модель включает в себе «Принципы модели угроз», разрабатываемые держателем ИСПД. Рекомендуется отметить, что:

    1. Угрозами считаются также действия, которые делают возможным несанкционированный доступ (косвенные угрозы).
    2. Система не может обеспечить полную защиту от действий, выполняемых лицом с законными полномочиями.

    В документе содержится классификация нарушителей, анализ вероятности угроз и некоторые другие параметры, применяемые для определения списка актуальных угроз, сам перечень вписывается в итоговых положениях бумаги.

    Надеемся, материал был полезен для вас. Типология актуальных угроз, согласно положениям законодательства, должна быть определена для каждой автоматизированной системы. Все расчеты и аналитические сводки содержатся в документе для служебного пользования – так называемой Модели. Она необходима для проведения мероприятий по обеспечению защиты.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/tipy-ugroz-bezopasnosti.html

    Определение уровня защищенности персональных данных

    Практическая защита
    персональных данных

    Определение уровня защищенности ИСПДн

    1 ноября утверждено постановление правительства №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

    В соответствии с постановлением, требования по защите персональных данных в ИСПДн зависят от уровня защищенности ИСПДн.

    Для определения уровня защищенности необходимо выделить ряд параметров ИСПДн, описанных ниже.

    Все ИСПДн по категориям обрабатываемых данных делятся на:

    — обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
    — обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
    — обрабатывающие иные персональных данных.

    Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников).

    Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.

    В постановлении приведены три типа актуальных угроз.

    1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
    2 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
    3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей

    При этом в документе не дается указаний на способы выявления недекларированных возможностей программного обеспечения. Это привело к наличию различных точек зрения на этот вопрос.

    Мы рекомендуем Вам руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть высокая вероятность наличия недокументированных функций, способных нанести вред.

    На основании указанных выше критериев определяется уровень защищенности ИСПДн. Для этого рекомендуем Вам воспользоваться формой приведенной ниже

    Определение уровня защищенности

    © 2011-2019 «Практическая защита персональных данных»

    Видео (кликните для воспроизведения).

    Источник: http://pdsec.ru/uroven_zaschischennosti/

    Определение уровня защищенности персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here