Угрозы безопасности персональных данных
Под актуальными угрозами безопасности персональных данных (ПДн) понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе (ИС), результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в ИС.
Угрозы 2-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в ИС.
Угрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИС.
При обработке персональных данных(ПДн) в ИС устанавливаются 4 уровня защищенности персональных данных (ПДн).
Необходимость обеспечения 1-го уровня защищенности ПДн при их обработке в ИС устанавливается при наличии хотя бы одного из следующих условий:
а) для ИС актуальны угрозы 1-го типа и ИС обрабатывает либо специальные категории ПДн, либо биометрические персональные данные, либо иные категории ПДн.
б) для ИС актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
10. Необходимость обеспечения 2-го уровня защищенности ПДн при их обработке в ИС устанавливается при наличии хотя бы одного из следующих условий:
а) для ИС актуальны угрозы 1-го типа и ИС обрабатывает общедоступные ПДн;
б) для ИС актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
в) для ИС актуальны угрозы 2-го типа и ИС обрабатывает биометрические ПДн;
г) для ИС актуальны угрозы 2-го типа и ИС система обрабатывает общедоступные ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
д) для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
е) для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности ПДн при их обработке в ИС устанавливается при наличии хотя бы одного из следующих условий:
а) для ИС актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
б) для ИС актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
в) для ИС актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
г) для ИС актуальны угрозы 3-го типа и ИС обрабатывает биометрические ПДн;
д) для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности ПДн при их обработке в ИС устанавливается при наличии хотя бы одного из следующих условий:
а) для ИС актуальны угрозы 3-го типа и ИС обрабатывает общедоступные ПДн;
б) для ИС актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
Типы ИСПДн:
§ ИСПДн, обрабатывающие биометрию;
§ ИСПДн, обрабатывающие общедоступные ПДн;
§ ИСПДн сотрудников оператора;
§ ИСПДн, обрабатывающие иные категории ПДн.
ФСТЭК
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - это федеральный орган исполнительной власти, обладающий следующими полномочиями:
- обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры;
- противодействие иностранным техническим разведкам;
- обеспечение технической защиты информации некриптографическими методами;
- осуществление экспортного контроля.
ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею.
В подчинении ФСТЭК России находятся территориальные органы (управления ФСТЭК России по федеральным округам), Государственный научно-исследовательский испытательный институт проблем технической защиты информации и другие подведомственные Службе организации.
ФСТЭК России является правопреемником Гостехкомиссии России.
ФСТЭК России как правопреемник Гостехкомиссии России по-прежнему наделена такими полномочиями, как:
- организация и проведение лицензирования деятельности по осуществлению мероприятий и/или оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и/или технической защиты информации);
- создание средств защиты информации, содержащей сведения, составляющие государственную тайну;
- техническая защита конфиденциальной информации;
- разработка и/или производство средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации.
Криптография
В переводе с греческого языка слово криптография означает тайнопись. Смысл этого термина выражает основное предназначение криптографии — защитить или сохранить в тайне необходимую информацию.
Современная криптография является областью знаний, связанной с решением таких проблем безопасности информации, как конфиденциальность, целостность, аутентификация и неотслеживаемость. Достижение этих требований безопасности информационного взаимодействия и составляет основные цели криптографии. Они определяются следующим образом.
Обеспечение конфиденциальности — решение проблемы защиты информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней.
Обеспечение целостности — гарантирование невозможности несанкционированного изменения информации. Для гарантии целостности необходим простой и надежный критерий обнаружения любых манипуляций с данными. Манипуляции с данными включают вставку, удаление и замену.
Обеспечение аутентификации — разработка методов подтверждения подлинности сторон (идентификация) и самой информации в процессе информационного взаимодействия. Информация, передаваемая по каналу связи, должна быть аутентифицирована по источнику, времени создания, содержанию данных, времени пересылки и т. д.
Обеспечение неотслеживаемости востребовано при проведении электронного голосования и использования электронных наличных. Зачастую, требуется обеспечить: невозможность определения результатов голосования каждого голосующего в отдельности и невозможность связать факт оплаты электронными наличными с личностью конкретного пользователя.
Под шифром обычно понимается семейство обратимых преобразований, каждое из которых определяется некоторым параметром, называемым ключом, а также порядком применения данного преобразования, называемым режимом шифрования.
Ключ — это важнейший компонент шифра, отвечающий за выбор преобразования, применяемого для зашифрования конкретного сообщения.
Каждое преобразование однозначно определяется ключом и описывается некоторым криптографическим алгоритмом.
Различают симметричные и асимметричные криптосистемы. В симметричных системах знание ключа зашифрования k1 позволяет легко найти ключ расшифрования kг (в большинстве случаев эти ключи просто совпадают). В асимметричных криптосистемах знание ключа k1 не позволяет определить ключ k2. Поэтому для симметричных криптосистем оба ключа должны сохраняться в секрете, а для асимметричных — только один — ключ расшифрования k2, а ключ k1 можно сделать открытым (общедоступным). В связи с этим их называют еще шифрами с открытым ключом.