Разработка модели угроз ПДн – это способ обнаружить все возможные угрозы у оператора персональных данных. Мы специализируемся на защите информации, на интеграции инструментов безопасности с учетом требований ФЗ №152.
Закон о защите персональных данных вступил в силу в 2006 году. Последняя его редакция (ФЗ №152) вступила в действие в 2021 году. В этом документе дается определение угроз безопасности персональных данных и какие обязательства возлагаются на каждого оператора, занимающего обработкой ПДн.
Что подразумевают под угрозами
Угрозы – это действия, которые приводят к утечке конфиденциальных данных.
Оператор в лице компании обязан выявлять и устранять все возможные варианты компрометации пдн. В ИСПДн (информационная система ПДн) подразумевается, что риск могут нести:
- Конкретное лицо. Человек совершает действия, в результате которых получают несанкционированный доступ к ПДн. Не имеет значения, было ли это осознанное действие или нет. Учитываются последствия произошедшего, в случае если права владельца ПДн нарушены, то ответственность — на операторе.
- Аппаратная закладка. Это устройство, которое несанкционированно ведет сбор информации, передачу заинтересованной стороне и публичное разглашение. Устанавливаются в места и шлюзы, через которые происходит обмен данными.
- Программный инструмент. Именуют как «компьютерный вирус», хотя это некорректный термин. Это программный код, в алгоритм которого заложена кража, распространение конфиденциальной информации.
Используются и комбинированные атаки. В этом случае несанкционированный доступ получают сразу по нескольким каналам. Они самые опасные и их чаще задействуют злоумышленники, целенаправленно компрометирующие ПДн.
Порядок определения угроз
Разработка угроз персональным данным выполняется не по единому алгоритму. Учитываются аспекты:
- территориальное разграничение хранения ПДН;
- наличие соединения с внешними сетями (локальными, городскими, внутренними, корпоративными);
- какие применяются средства и инструменты для взаимодействия с персональной информацией;
- принцип разграничения доступа к ПДН(когда есть сотрудники, имеющие только возможность просмотра данных и кому дополнительно доступно редактирование);
- используемые категории персональных данных, какие методы защиты применяются;
- какой перечень ПДН задействуется при выполнении базовых операций ввода-вывода.
На основании перечисленных аспектов — составляется разработка модели угроз ПДн. Дополнительно возможно проведение экспресс-тестов на устойчивость к взлому.
Зачем нужен анализ угроз
Прохождение тестирования поможет в дальнейшем подготовиться к проверке со стороны РКН. По ФЗ №152, её проводят для всех компаний, которые занимаются сбором, хранением и обработкой персональных данных.
После теста подготавливается отчет. В нём детально описывают:
- Все выявленные угрозы и каким образом их определили.
- К каким последствиям обнаруженные угрозы в теории могут привести.
- Обнаружены ли попытки несанкционированного доступа, совершенные ранее.
Отчет затем можно использовать для подачи инспектору РКН для подтверждения, что внутренний аудит системы оператора уже проводился. Это позволяет скорее получить заключение об отсутствии нарушений. Срок действия отчета от инспектора — от 2 лет (зависит от выставленного «уровня риска» для предприятия).
Классификация угроз
Их разделяют по уровню опасности:
- от 0 до 2 уровня включительно — безопасные, вероятность их использования низкая;
- от 3 до 5 уровня включительно — низкий уровень опасности. В случае если эти угрозы были использованы, то к массивной утечке данных это не могло привести;
- от 6 до 8 уровня включительно — средний уровень опасности;
- от 9 до 10 — высокий уровень риска, возможно компрометация БД была, но выявить этого доступными средствами невозможно.
И угрозы распределяют по типу: аппаратные, программные, физические (когда доступ получает третье лицо).
Кому доверить разработку модели угроз
Наша компания предоставляет следующие услуги:
- аудит компании по соблюдению ФЗ №152;
- подготовка предприятия к прохождению проверки РКН;
- разработка, создание ОРД;
- аттестация по ИСПДН;
- подготовка отчета об уровне защищенности персональных данных у оператора.
Работаем и в дистанционном режиме. Желаете узнать стоимость, получить консультацию — свяжитесь с менеджером или оставьте свои контакты в форме обратной связи.
Почему нам доверяют
Можем выделить следующие преимущества от сотрудничества с нашей компанией:
- работаем быстро, это касается и подготовки отчета, и аудита;
- можно заказать отдельно услуги и в комплексе;
- гибкие цены, итоговая стоимость указывается заранее, до начала сотрудничества;
- работаем официально. С клиентом подписывается договор, в нем описываются все аспекты сотрудничества.
Разработка угроз для оператора сбора и обработки персональных данных — это эффективный способ выявить «слабые места» в защите. Относится и к сотрудникам, имеющим доступ к информации, и к аппаратным, программным средствам, через которые происходит взаимодействие с БД. Дополнительно это позволяет подготовиться к аудиту РКН по соблюдению ИСПДН, ФЗ №152. Несоблюдение законных норм — это достаточный повод для получения штрафа или предписания на устранение выявленных ошибок в работе оператора.