Определение актуальных угроз безопасности персональных данных

Угрозы с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного, доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) персональных данных, и включают в себя:

· угрозы утечки персональных данных с сервера оператора персональных данных. Один из самых актуальных типов угроз в цифровой среде обусловлен недостаточными законодательными мерами в отношении операторов персональных данных, способствующими не соблюдением необходимых мер по защите персональных данных. Угроза возникает при передаче персональных данных оператору, не заинтересованному в тщательной проработке мер защиты доступа к хранимым на его серверах персональным данным и допускающему (непреднамеренно или преднамеренно) утечки персональных данных;

· угрозы доступа (проникновения) в операционную среду устройства с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения) подразделяются на:

1. Угрозы непосредственного доступа. Злоумышленник может получить доступ к устройству или ресурсу, содержащему персональные данные,оставленному без присмотра с недостаточной степенью защиты доступа;

2. Угрозы удаленного доступа. Злоумышленник может получить доступ к устройству или ресурсу с используемыми дефолтными (по умолчанию) данными для авторизации; либо осуществить то же самое посредством взлома нестойких систем защиты;

· угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования, предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п. Такие угрозы могут возникнуть в случае использования нелицензионного или скомпрометированного аппаратного или программного обеспечения;

· угрозы внедрения вредоносных программ (программно-математического воздействия). Такие угрозы наиболее распространены и могут возникать при посещении сомнительных ресурсов (к примеру, не имеющих подтвержденного сертификата или использующих для доступа незащищенные протоколы связи), установки нелицензионного или скомпрометированного программного обеспечения;

· угрозы методами социальной инженерии. Данный вид угроз реализовывается злоумышленником целенаправленно в отношении пользователя и/или третьих лиц. Вероятность возникновения угрозы данного типа возрастает при публикации персональных данных в открытых источниках в цифровой среде, а также при несоблюдении достаточных мер по защите своих персональных данных.

Базовая модель нарушителя

В качестве нарушителя рассматривается любое лицо или группа лиц, которое осуществляет, может осуществить или осуществило обработку персональных данных при отсутствии соответствующего разрешения или с нарушением условий такового. Нарушителем может являться как физическое лицо или группа лиц, так и организация, а также спецслужбы и органы власти (в том числе и зарубежные).

Общие положения

При организации защиты информации, в том числе при защите персональных данных организационными мерами, помимо модели угроз, необходимо учитывать модель нарушителя. Цель в разработкетакой моделизаключается в анализе возможностей, которым потенциально может обладать злоумышленник при организации попыток доступа к защищаемым персональным данным.

Классификация нарушителей

Среди потенциальных нарушителей можно выделить два типа:

• нарушителей с физическим доступом, реализующих угрозы безопасности персональных данных при непосредственном доступе к устройствам и системам, хранящим персональные данные;

• нарушителей с удаленным доступом, реализующих угрозы безопасности персональных данных через Интернет и прочими дистанционными способами.

Для получения доступа к персональным данным нарушитель с удаленным доступом может осуществлять перехват открытой и зашифрованной информации, передаваемой по каналам связи сетям общего пользования и (или) сетям международного информационного обмена, а также по локальным сетям.

Любому нарушителю с физическим доступомнеобходимнепосредственный контакт сустройством субъекта или оператора персональных данных.

Описанная модель нарушителя является базовой и может быть использована для разработки частной модели нарушителя.