Особенности классификации информационных систем персональных данных. Методика определения актуальных угроз безопасности персональных данных Заместитель начальника отдела Управления ФСТЭК России по Приволжскому федеральному округу КОШЛАТЫЙ Денис Анатольевич
Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года (статья 25 п. 3 ФЗ «О персональных данных» )
Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) утвержден приказом Гостехкомиссии России от 30 августа 2002 года № 282
Руководящий документ Гостехкомиссии России «Автоматизированные системы. Зашита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» утверждён Председателем Гостехкомиссии России 30 марта 1992 г.
КЛАССИФИКАЦИЯ АС 9 КЛАССОВ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА: 1 А 1 Б 1 В 1 Г 1 Д 2 А 2 Б 3 А 3 Б 3 ГРУППЫ АС: ПЕРВАЯ Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют разные права доступа к информации. ВТОРАЯ ТРЕТЬЯ Многопользовательские АС, с информацией разного Однопользовательская АС, с информацией одного уровня конфиденциальности. Пользователи имеют одинаковые права доступа к информации. уровня конфиденциальности.
Порядок проведения классификации информационных систем персональных данных Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн Состав и функциональное содержание методов и средств зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный
Порядок проведения классификации информационных систем персональных данных Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде: n незапланированных финансовых или материальных затратах субъекта; n потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн; n нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т. п. ). Опосредованный ущерб, связан с причинением вреда обществу и(или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн
«Порядок проведения классификации информационных систем персональных данных» Классификация ИСПДн проводится: КЕМ? – операторами информационных систем; КОГДА? – на этапе создания информационных систем либо в ходе их эксплуатации (для ранее введённых и (или) модернизируемых); ЦЕЛЬ – установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных
Порядок проведения классификации информационных систем персональных данных Проведение классификации информационных систем включает в себя следующие этапы: n n n сбор и анализ исходных данных по информационной системе присвоение информационной системе соответствующего класса документальное оформление результатов
Исходные данные для проведения классификации информационной системы n n n n категория обрабатываемых в информационной системе персональных данных – Хпд; объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Хнпд; заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе; структура информационной системы; наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; режим обработки персональных данных; режим разграничения прав доступа пользователей информационной системы; местонахождение технических средств информационной системы.
Порядок проведения классификации информационных систем персональных данных Категории обрабатываемых в информационной системе персональных данных – Хпд n n категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные.
«Порядок проведения классификации информационных систем персональных данных» В зависимости от объема Хнпд может принимать следующие значения: 1. 2. 3. - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Порядок проведения классификации информационных систем персональных данных Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)
«Порядок проведения классификации информационных систем персональных данных» Информационные системы типовые специальные
КЛАСС ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ 3 <1000 2 1000 до 100 000 1 >100 000 категория 4 К 4 К 4 категория 3 КЗ КЗ К 2 категория 2 КЗ К 2 К 1 категория 1 К 1 К 1 Хпд Хнпд
КЛАСС ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ n n класс 1 (К 1) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К 2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (КЗ) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К 4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена ФСТЭК России 15 февраля 2008 г. n n n Классификация угроз безопасности персональных данных по видам возможных источников угроз; по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн; по виду несанкционированных действий, осуществляемых с ПДн; по способам реализации угроз; по виду каналов, с использованием которых реализуются те или иные угрозы.
МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя: 1. уровень (степень) исходной защищенности ИСПДн 2. частота (вероятность) реализации рассматриваемой угрозы
Показатели исходной защищенности ИСПДн Технические и эксплуатационные характеристики ИСПДн 1. По территориальному размещению: - распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - локальная ИСПДн, развернутая в пределах одного здания. 2. По наличию соединения с сетями общего пользования: - ИСПДн, имеющая многоточечный выход в сеть общего пользования; - ИСПДн, имеющая одноточечный выход в сеть общего пользования; - ИСПДн, физически отделенная от сети общего пользования. Высокий Уровень защищенности Средний Низкий - - + - + - + - -
Показатели исходной защищенности ИСПДН 3. По встроенным (легальным) операциям с записями баз персональных данных: - чтение, поиск; - запись, удаление, сортировка; - модификация, передача. 4. По разграничению доступа к персональным данным: - ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; - ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - ИСПДн с открытым доступом. 5. По наличию соединений с другими базами ПДн иных ИСПДн: - интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); - ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн. 6. По уровню обобщения (обезличивания) ПДн: - ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т. д. ); - ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; - ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т. е. присутствует информация, позволяющая идентифицировать субъекта ПДн). + - + - - + + - -
Показатели исходной защищенности ИСПДН 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: - ИСПДн, предоставляющая всю БД с ПДн; - ИСПДн, предоставляющая часть ПДн; - ИСПДн, не предоставляющие никакой информации. + + -
Показатели исходной защищенности ИСПДн Технические и эксплуатационные характеристики ИСПДн 1. По территориальному размещению: - распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - локальная ИСПДн, развернутая в пределах одного здания. 2. По наличию соединения с сетями общего пользования: - ИСПДн, имеющая многоточечный выход в сеть общего пользования; - ИСПДн, имеющая одноточечный выход в сеть общего пользования; - ИСПДн, физически отделенная от сети общего пользования. Высокий Уровень защищенности Средний Низкий - - + - + - + - -
Показатели исходной защищенности ИСПДН 3. По встроенным (легальным) операциям с записями баз персональных данных: - чтение, поиск; - запись, удаление, сортировка; - модификация, передача. 4. По разграничению доступа к персональным данным: - ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; - ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - ИСПДн с открытым доступом. 5. По наличию соединений с другими базами ПДн иных ИСПДн: - интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); - ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн. 6. По уровню обобщения (обезличивания) ПДн: - ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т. д. ); - ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; - ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т. е. присутствует информация, позволяющая идентифицировать субъекта ПДн). + - + - - + + - -
Показатели исходной защищенности ИСПДН 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: - ИСПДн, предоставляющая всю БД с ПДн; - ИСПДн, предоставляющая часть ПДн; - ИСПДн, не предоставляющие никакой информации. + + -
Исходная степень защищенности определяется следующим образом 1. ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу). 2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные низкому уровню защищенности. 3. ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.
При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y 1 0 - для высокой степени исходной защищенности; 5 - для средней степени исходной защищенности; 10 - для низкой степени исходной защищенности.
Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн Угрозы Y 1 угрозы утечки акустической (речевой) информации 5 угрозы утечки информации по каналу ПЭМИН 5 угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации 5 Y 2 Y=(Y 1+Y 2) /20
Информационные системы Локальные информационные системы Автономные - без подключения к ССОП или СМИО - с подключением к ССОП или СМИО АРМ Распределенные информационные системы - без подключения к ССОП или СМИО - с подключением к ССОП или СМИО
Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вводятся четыре вербальных градации вероятности реализации угрозы: маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся) низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации) средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y 2 n n 0 - для маловероятной угрозы; 2 - для низкой вероятности угрозы; 5 - для средней вероятности угрозы; 10 - для высокой вероятности угрозы.
Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн Коэффициент реализуемости угрозы Угрозы Y 1 Y 2 Y=(Y 1+Y 2)/ Возможность 20 реализации угрозы утечки акустической (речевой) информации 5 0 0, 25 угрозы утечки информации по каналу ПЭМИН 5 2 0, 35 угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации 5 10 0, 75
По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы n n n 0 < Y < 0, 3 - возможность реализации угрозы низкая; 0, 3 < Y < 0, 6 - возможность реализации угрозы средняя; 0, 6 < Y < 0, 8 - возможность реализации угрозы высокая; Y > 0, 8 - возможность реализации угрозы очень высокая.
Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн Угрозы Y 1 Y 2 Y=(Y 1+Y 2)/ Возможность 20 реализации угрозы утечки акустической (речевой) информации; 5 0 0, 25 низкая угрозы утечки информации по каналу ПЭМИН, 5 2 0, 35 средняя угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации; 5 10 0, 75 высокая
При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения: низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Правила отнесения угрозы безопасности ПДн к актуальной Возможность реализации угрозы (вербальная) Показатель опасности угрозы (вербальный) Низкая Средняя Высокая Низкая неактуальная Средняя неактуальная Высокая актуальная Очень высокая актуальная
Постановление Правительства РФ от 17 ноября 2007 г. № 781 ПОЛОЖЕНИЕ об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации
Структура частной модели угроз безопасности персональных данных 1. Общие положения. 2. Степень исходной защищённости ИСПДн. 3. Угрозы утечки информации по техническим каналам. 4. Угрозы несанкционированного доступа к информации в информационной системе персональных данных. 5. Заключение.
Типовой пример оформления результатов в частной модели угроз Угрозы утечки информации по техническим каналам и за счёт НСД Уровен ь исходн ой защищ ённост и (Y 1) Вероятность реализации угрозы (Y 2) Малая вероятн ость (0) Утечка информации по каналу ПЭМИН 5 Утечка речевой информации 5 перехват паролей (идентификаторо в) Низка я вероят ность (2) Средн яя вероят ность (5) Высокая вероятнос ть (10) Коэффиц иент реализуем ости угрозы Y=(Y 1+Y 2 )/20 Возможно сть реализац ии угрозы Показатель опасности угрозы (определяется на основе опроса специалистов в области ЗИ) Низ кая опас ност ь Сре дня я опас ност ь Высо кая опасн ость Выв од об акт уал ьно сти угро зы 0, 35 2 средняя 0. 25 0 низкая да нет 0, 5 5 5 средняя да да
КЛАСС ИНФОРМАЦИОННОЙ СИСТЕМЫ МОЖЕТ БЫТЬ ПЕРЕСМОТРЕН: по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций …» и «Основных мероприятий …» формулируются конкретные организационно- технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
ОФИЦИАЛЬНЫЙ САЙТ ФСТЭК РОССИИ fstec. ru РЕКВИЗИТЫ УПРАВЛЕНИЯ ФСТЭК РОССИИ ПО ПРИВОЛЖСКОМУ ФЕДЕРАЛЬНОМУ ОКРУГУ Для закрытой переписки: Управление ФСТЭК России по Приволжскому федеральному округу, г. Нижний Новгород, проспект Гагарина, д. 60, к. 11. Для открытой переписки: Управление ФСТЭК России по Приволжскому федеральному округу, 603104, г. Нижний Новгород, проспект Гагарина, д. 60, корп. 11. ФАКС: (831) 439 -68 -77, 439 -68 -79 ТЕЛЕФОН: (831) 439 -68 -76 E-mail: fstec@mts-nn. ru
Скачать презентацию Особенности классификации информационных систем персональных данных Методика определения
1041c5f2278137b0ac185103b572851e.ppt