Угрозы безопасности персональных данных

• ⇐ Назад
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 101112
• 13
• 14
• 15
• 16
• 17
• Далее ⇒

Под актуальными угрозами безопасности персональных данных (ПДн) понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе (ИС), результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в ИС.

Угрозы 2-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в ИС.

Угрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИС.

При обработке персональных данных(ПДн) в ИС устанавливаются 4 уровня защищенности персональных данных (ПДн).

Необходимость обеспечения 1-го уровня защищенности ПДн при их обработке в ИС устанавливается при наличии хотя бы одного из следующих условий:

а) для ИС актуальны угрозы 1-го типа и ИС обрабатывает либо специальные категории ПДн, либо биометрические персональные данные, либо иные категории ПДн.

б) для ИС актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

10. Необходимость обеспечения 2-го уровня защищенности ПДн при их обработке в ИС устанавливается при наличии хотя бы одного из следующих условий:

а) для ИС актуальны угрозы 1-го типа и ИС обрабатывает общедоступные ПДн;

б) для ИС актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;

в) для ИС актуальны угрозы 2-го типа и ИС обрабатывает биометрические ПДн;

г) для ИС актуальны угрозы 2-го типа и ИС система обрабатывает общедоступные ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;

д) для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;

е) для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

Необходимость обеспечения 3-го уровня защищенности ПДн при их обработке в ИС устанавливается при наличии хотя бы одного из следующих условий:

а) для ИС актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;

б) для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;

в) для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;

г) для ИС актуальны угрозы 3-го типа и ИС обрабатывает биометрические ПДн;

д) для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

Необходимость обеспечения 4-го уровня защищенности ПДн при их обработке в ИС устанавливается при наличии хотя бы одного из следующих условий:

а) для ИС актуальны угрозы 3-го типа и ИС обрабатывает общедоступные ПДн;

б) для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

 

Типы ИСПДн:

§ ИСПДн, обрабатывающие биометрию;

§ ИСПДн, обрабатывающие общедоступные ПДн;

§ ИСПДн сотрудников оператора;

§ ИСПДн, обрабатывающие иные категории ПДн.

ФСТЭК

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - это федеральный орган исполнительной власти, обладающий следующими полномочиями:

• обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры;
• противодействие иностранным техническим разведкам;
• обеспечение технической защиты информации некриптографическими методами;
• осуществление экспортного контроля.

ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею.

В подчинении ФСТЭК России находятся территориальные органы (управления ФСТЭК России по федеральным округам), Государственный научно-исследовательский испытательный институт проблем технической защиты информации и другие подведомственные Службе организации.

ФСТЭК России является правопреемником Гостехкомиссии России.

ФСТЭК России как правопреемник Гостехкомиссии России по-прежнему наделена такими полномочиями, как:

• организация и проведение лицензирования деятельности по осуществлению мероприятий и/или оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и/или технической защиты информации);
• создание средств защиты информации, содержащей сведения, составляющие государственную тайну;
• техническая защита конфиденциальной информации;
• разработка и/или производство средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации.

Криптография

В переводе с греческого языка слово криптография означает тайнопись. Смысл этого термина выражает основное предназначение криптографии — защитить или сохранить в тайне необходимую информацию.

Современная криптография является областью знаний, связанной с решением таких проблем безопасности информации, как конфиденциальность, целостность, аутентификация и неотслеживаемость. Достижение этих требований безопасности информационного взаимодействия и составляет основные цели криптографии. Они определяются следующим образом.

Обеспечение конфиденциальности — решение проблемы защиты информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней.

Обеспечение целостности — гарантирование невозможности несанкционированного изменения информации. Для гарантии целостности необходим простой и надежный критерий обнаружения любых манипуляций с данными. Манипуляции с данными включают вставку, удаление и замену.

Обеспечение аутентификации — разработка методов подтверждения подлинности сторон (идентификация) и самой информации в процессе информационного взаимодействия. Информация, передаваемая по каналу связи, должна быть аутентифицирована по источнику, времени создания, содержанию данных, времени пересылки и т. д.

Обеспечение неотслеживаемости востребовано при проведении электронного голосования и использования электронных наличных. Зачастую, требуется обеспечить: невозможность определения результатов голосования каждого голосующего в отдельности и невозможность связать факт оплаты электронными наличными с личностью конкретного пользователя.

Под шифром обычно понимается семейство обратимых преобразований, каждое из которых определяется некоторым параметром, называемым ключом, а также порядком применения данного преобразования, называемым режимом шифрования.

Ключ — это важнейший компонент шифра, отвечающий за выбор преобразования, применяемого для зашифрования конкретного сообщения.

Каждое преобразование однозначно определяется ключом и описывается некоторым криптографическим алгоритмом.

Различают симметричные и асимметричные криптосистемы. В симметричных системах знание ключа зашифрования k₁ позволяет легко найти ключ расшифрования k_г (в большинстве случаев эти ключи просто совпадают). В асимметричных криптосистемах знание ключа k₁ не позволяет определить ключ k₂. Поэтому для симметричных криптосистем оба ключа должны сохраняться в секрете, а для асимметричных — только один — ключ расшифрования k₂, а ключ k₁ можно сделать открытым (общедоступным). В связи с этим их называют еще шифрами с открытым ключом.

---

• ⇐ Назад
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 101112
• 13
• 14
• 15
• 16
• 17
• Далее ⇒