Уровни защиты и базовые модели угроз безопасности персональных данных при их обработке в информационных системах ПД

Разговоры по телефону, фотографии, паспортные данные – это персональные данные.

Но интернет и техника, на которой они хранятся, не надежны – данные могут корыстно украсть.

Так что же нужно знать и сделать для того, чтобы личные сведения были в безопасности? Обо всем по порядку.

Скрыть содержание

Какие существуют опасности?

Бывают внешние и внутренние угрозы безопасности персональных данных. Они, в свою очередь, могут подразделяться на санкционированные и случайные. Внешнюю опасность могут оказывать террористы, зарубежные спецслужбы, криминальные группировки, конкуренты и т.д., которые могут блокировать, копировать, и даже уничтожать информацию, имеющую ценность для обеих сторон.

Базовая модель угроз

За основу взята 4.1«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. Санкционированные «нападки» на информацию извне могут происходить с помощью техники, которая перехватывает цифровой, письменный и звуковой сигналы.

Среда распространения информативного сигнала – это физическая среда, по которой информативный сигнал может распространяться и приниматься (регистрироваться) приемником.

Еще с помощью современных вычислительных средств может быть утечка видовой информации. Например, с помощью оптических средств и прочих устройств отображения с экранов дисплеев. С помощью скрытых видеокамер они внедряются в служебные помещения компании и скрытно используются ее сотрудниками. Бывают и случайности, когда наводки и электромагнитные излучения затрагивают побочные каналы: чьи-то телефонные разговоры, например.

Каналы утечки информации, обусловленные наводками, образуются за счет соединительных линий технических средств и посторонних проводников (в том числе цепей электропитания и заземления).

Что касается интернета, то он является, пожалуй, самым распространенным каналом «кражи» персональных сведений в настоящее время. Меняя пароли, внедряя ложные объекты в информационную систему, замедляя работу программного обеспечения, злоумышленники наносят вред производительности и эффективности информационных систем.

Внутренняя угроза «утечки» информации – это такая угроза, которую создают сотрудники определенного предприятия. Они могут санкционировано взломать базу данных и использовать ее в личных интересах. Такое возможно, если в компании не налажена техническая мера защиты и контроля доступа к персональным данным сотрудников.

Право на защиту личной информации, гарантированное Конституцией РФ каждому гражданину.

Уровни защиты

Сама система защиты информации может иметь четыре уровня защиты. Отметим, что выбор средств определяет оператор на основании нормативных актов (часть 4 статьи 19 ФЗ “О персональных данных”).

Требования, необходимые для обеспечения четвертого уровня безопасности персональных данных:

  • организация должна создать режим, препятствующий проникновению в помещения лиц, не имеющих к ним доступ;
  • необходимо позаботиться о сохранности персональных файлов;
  • руководитель должен утвердить оператора, а также документы, в которых заключался бы перечень лиц, которым разрешено в силу служебных обязанностей обращаться к конфиденциальной информации других сотрудников;
  • использование средств защиты информации, прошедших процедуру оценки в области обеспечения безопасности информации.

Для обеспечения третьего уровня защищенности необходимо соблюдения всех требований четвертого уровня и добавляется еще один – обязательно назначается должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Для второго уровня защищенности характерно положение о том, что к журналу с информацией может иметь доступ сам оператор или сотрудник, которому это позволяют его служебные обязанности. А также к нему относятся все требования третьего уровня безопасности.

И, наконец, для обеспечения первого уровня безопасности необходимо соблюсти все вышеперечисленные требования и обеспечить соблюдение следующих пунктов:

  • установка в электронном журнале безопасности такой системы, которая могла бы автоматически заменять доступа сотрудника к базе данных в связи смены его полномочий;
  • назначение ответственного человека (сотрудника) за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Контроль безопасности оператор должен производить более одного раза в три года.

Он имеет право поручить это дело юридическому лицу или лицам, у которых на это есть лицензия, заключив с ними договор («Требования к защите персональных данных при их обработке в информационных системах персональных данных от» 1 ноября 2012 г. №1119).

Обеспечение высокого уровня защиты

  1. Тщательно проработайте организационный момент:

    • Используйте технику, которая удовлетворяет требования закона РФ, гарантирующих охрану информации.
    • Система защиты должна быть проверена процедурой оценочного соответствия.
    • «Положение о персональных данных работников и обучающихся» (п. 6) должно быть основанием для допуска лиц к системе данных, также имеют место быть пароли доступа для каждого сотрудника.
    • Сотрудники должны быть осведомлены обо всех существующих положениях, инструкциях работы в сети и расписаться после ознакомления с ними (Например, «Положение о корпоративной компьютерной сети», «Инструкция пользователя при обработке персональной информации на объектах вычислительной техники», и т.д. ).
    • Пароли доступа к системе с персональной информацией для каждого сотрудника должны быть индивидуальными и состоять более чем из шести знаков.
  2. Поставьте жесткие рамки:

    • Работа посторонних лиц за техникой, где есть какая – либо конфиденциальная информация, без пароля доступа должна воспрещаться.
    • Пересылка через Интернет конфиденциальных сведений по ненадежным каналам недопустима.
  3. Уделите особое внимание:

    • Контролю над исправностью системного оборудования.
    • Налаженной системе работы противовирусного программного обеспечения, исключая чрезмерные проверки на выявление зараженных элементов.
    • Соблюдению условий, при которых программное обеспечение не будет извлечено, утилизировано или подвержено конфигурации и т.д.

Законом дано право юридическим лицам самим определять меру защиты своей конфиденциальной информации. Не будьте же уязвимыми – примите необходимые меры.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий