Понятие актуальных угроз безопасности персональных данных

Наносимый ущерб

Степени и проявления ущерба могут быть разными:

  • Моральный и материальный ущерб, нанесенный физическим лицам, чья информация была похищена.
  • Финансовый ущерб, нанесенный мошенником в связи с затратами на восстановление систем информации.
  • Материальные затраты, связанные с невозможностью выполнения работы из-за перемен в системе защиты информации.
  • Моральный ущерб, связанный с деловой репутацией компании или повлекший нарушения взаимоотношений на мировом уровне.

Возможность причинения ущерба есть у лица, которое совершило правонарушение (получило несанкционированный доступ к информации, или произошел взлом систем защиты). Также ущерб может быть нанесен независимо от субъекта, обладающего информацией, а вследствие внешних факторов и воздействий (техногенных катастроф, стихийных бедствий). В первом случае вина ложится на субъекта, а также определяется состав преступления и выносится наказание посредством судебного разбирательства.

Возможно совершение деяния:

с преступным умыслом (прямым или косвенным);

по неосторожности (без умышленного причинения вреда).

Ответственность за правонарушение по отношению к информационным системам выбирается согласно действующему законодательству страны, в частности, по уголовному кодексу в первом случае

Если преступление совершено по неосторожности, а ущерб нанесен в малых размерах, то ситуацию рассматривает гражданское, административное или арбитражное право.. Ущербом информационного пространства считаются невыгодные для собственника (в данном случае информации) последствия, связанные с потерей материального имущества

Последствия проявляются в результате правонарушения. Выразить ущерб информационным системам можно в виде уменьшения прибыли или ее недополучения, что расценивается как упущенная выгода.

Ущербом информационного пространства считаются невыгодные для собственника (в данном случае информации) последствия, связанные с потерей материального имущества. Последствия проявляются в результате правонарушения. Выразить ущерб информационным системам можно в виде уменьшения прибыли или ее недополучения, что расценивается как упущенная выгода.

Главное, вовремя обратиться в суд и выяснить состав преступления

Ущерб нужно классифицировать согласно правовым актам и доказать его в судебном процессе, а еще важно выявить размер деяния личностей, размер их наказания на основе законодательства. Такими преступлениями и безопасностью чаще всего занимается киберполиция или служба безопасности страны в зависимости от объема и значимости вмешательства в информацию.

Этап защиты информации сегодня считается самым актуальным и требуется любому предприятию. Защищать нужно не только ПК, но и все техустройства, контактирующие с информацией. Все данные могут стать оружием в руках злоумышленников, поэтому конфиденциальность современных IT-систем должна находиться на высшем уровне.

Одновременное использование DLP- и SIEM-систем решает задачу защиты данных более эффективно. Испытать программы на практике можно во время бесплатного 30-дневного триала. Узнать детали…  

Задержки у атакующей информационную безопасность стороны возможны только в связи с прохождением системы защиты. Абсолютных способов обезопасить себя от угроз не существует, поэтому информационную систему защиты требуется всегда усовершенствовать, поскольку мошенники тоже усовершенствуют свои методики. Пока не придуман универсальный способ, который подходит каждому и дает стопроцентную защиту

Важно остановить проникновение злоумышленников на раннем уровне.

Как определить тип потенциально опасных факторов?

В ранее упоминаемой методике определения актуальных угроз содержится алгоритм проведения такой операции. Чтобы выяснить, какие факторы являются актуальными для ИСПД, необходимо проанализировать два фактора, а именно:

  1. Уровень защищенности самой системы.
  2. Частота реализации рассматриваемого фактора (ее вероятность).

Для начала проводится экспертиза исходной защищенность изучаемой информационной сети. Для удобства проведения такого анализа используются обобщенные показатели, зависящие от конкретных технических и эксплуатационных характеристик.

  1. По территориальному размещению:
    • Низкий уровень защищенности: ИСПД, охватывающие несколько областей, округов, краев, административных единиц государство в целом, а также городские ИСПД (не выходящие за черту населенного пункта).
    • Средний уровень защищенности: корпоративные ИСПД, охватывающие разные предприятия, находящиеся в собственности одного юридического лица, локальные (размещенные в рядом стоящих зданиях).
    • Высокий уровень защищенности: размещенные в пределах одного здания.
  2. По наличию соединения с сетями общего доступа (выход в интернет).

    Наиболее защищенными (высокий уровень) считаются сети, которые отделены от сетей общего доступа, средний уровень защищённости присваивается ИСПД, которые предусматривают одноточечный выход в сеть. Если же в рамках единого устройства возможен многоточечный выход в сети общего доступа, ИСПД считается с низким уровнем безопасности по данному критерию.

  3. По встроенных (легальных) операциях.

    Высокий уровень присваивается системам, в которых встроено только две операции – чтение и поиск. Средним уровнем защищенности обладают ИСПД с такими легальными операциями:

    • запись;
    • удаление;
    • сортировка.

    Наименьший уровень у устройств, предусматривающих легальное распространение (передачу) и модификацию (изменение) сведений.

Подробнее об уровнях защиты и базовых моделях угроз безопасности ПД при их обработке в ИСПД читайте тут.

Вторым фактором считается частота определенной угрозы. В России на законодательном уровне (Постановление Правительства РФ от 01.11.2012 №1119) в сфере защиты информации зафиксировано три вида актуальных угроз:

  • Актуальные, связанные с наличием недокументированных возможностей в программном обеспечении информационной системы.
  • Актуальные, связанные с наличием недокументированных возможностей в прикладном программном обеспечении информационной системы.
  • Актуальные, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении информационной системы.

Тип определяется в зависимости от комбинаций актуальности рисков в ИСПД. Самый высокий тип угроз – первый, самый низкий, соответственно, третий. Чтобы определить конкретный уровень понадобятся такие данные:

  • Y₁ – уровень исходной защищенности.
  • Y₂ – частота (вероятность) реализации изучаемой угрозы.

Коэффициент реализуемости угрозы Y определяется так:

Y = (Y₁ + Y₂ )/ 20.

Результаты анализируются по алгоритму:

  1. Если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы признается низкой.
  2. Если 0,3 < Y ≤ 0,6, то возможность реализации угрозы признается средней.
  3. Если 0,6 < Y ≤ 0,8, то возможность реализации риска признается высокой.
  4. Если Y > 0,8, то возможность реализации риска признается очень высокой.

После этого оценивается опасность конкретной угрозы при помощи опроса специалистов сфере информационных технологий. На основе полученных данных составляется таблица:

Возможность реализации угрозы Показатель опасности угрозы
Низкая Средняя Высокая
Низкая Неактуальная Неактуальная Актуальная
Средняя Неактуальная Актуальная Актуальная
Высокая Актуальная Актуальная Актуальная
Очень высокая Актуальная Актуальная Актуальная

Основные понятия

Безопасность

Её определение содержится в законе РФ «О безопасности» №390-ФЗ от 28.12.2010. Под безопасностью понимается состояние, при котором жизненно важные интересы человека, гражданского общества и России, защищены от разнообразных угроз.

В законе также уточняется, что основными объектами безопасности выступают – гражданин, его права и свободы, а также общество, конституционный строй, конституционные характеристики государства.

Таким образом, защита конфиденциальной информации физического лица в России закреплена в законе «О безопасности», поскольку обеспечение конфиденциальности сведений из разряда ПДн относится к стратегически важным интересам каждого гражданина.

Угрозы

По термином «угрозы» понимают совокупность условий и факторов, которые создают опасность жизненно важным интересам личности, общества либо же государства и являются угрозами безопасности.

В документе «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных устройствах обработки персональных данных» дается следующее определение угрозам безопасности ПДн: перечень условий и факторов, создающих опасность несанкционированного, случайного или намеренного, доступа к ПДн.

Результатом такого проникновения может стать уничтожение, изменение, копирование, распространение конфиденциальных ведомостей с непредсказуемыми последствиями (а подробнее о процессе уничтожения можно прочитать тут). Под актуальными подразумеваются угрозы, которые могут быть реализованы в конкретно взятой Информационной системе персональных данных (ИСПД) на территории страны.

Справка! В Российской Федерации действует закон, который предусматривает хранение персональной информации физических лиц, только на территории страны – ст.18 ФЗ №152 от 27.07.2006.

Стихийные источники угроз

Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы :

  • пожары;
  • землетрясения;
  • наводнения;
  • ураганы;
  • различные непредвиденные обстоятельства;
  • необъяснимые явления;

другие форс-мажорные обстоятельства

 Классификация уязвимостей безопасности

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть:

·  объективными

·  субъективными

·  случайными.

Юзабилити-тестирование

Для тестирования нужно собрать группу людей с ограниченными возможностямиЕсли у вас не получается пригласить людей с ограниченными возможностяминабор инструментов

  • соответствие критериям
  • контрастность на странице,
  • размер текста и контролов,
  • стили CSS и т.д
  • Google Lighthouse — позволяет провести общий аудит страницы по критериям доступности и дает рекомендации, как исправить недочеты.
  • Siteimprove Accessibility Checker For Chrome — помогает проверить веб-контент на соответствие критериям WCAG и дает рекомендации что надо проверить дополнительно.
  • Сontrastchecker от WebIM — помогает высчитывать коэффициент контрастности. Во WCAG есть критерии, что коэффициент контрастности должен быть не ниже определенного значения. Contrastchecker поможет подобрать цвет, отвечающий всем требованиям.

Итак, для тестирования доступности веб-контента требуется:

  1. Провести функциональное тестирование. Если контент не работает должным образом, он будет недоступен не только людям с ограниченными возможностями, но всем пользователям в принципе.
  2. Проверить контент на соответствие 5 требованиям WCAG.
  3. Провести юзабилити тестирование доступного контента с учетом разных жизненных ситуаций.

4) Инсайдерские атаки

Анализ информационной безопасности организаций всё чаще указывает на их собственных сотрудников, как на самую большую угрозу безопасности. Внутренний доступ, который имеют сотрудники, делает их способными нанести большой вред, если они решат злоупотребить своими привилегиями доступа для личной выгоды. Или же они могут случайно позволить злоумышленникам взломать свои учетные записи или попросту передать их злоумышленникам в результате фишинговых атак. Кроме того, сотрудники могут загрузить опасные вредоносные программы на свои рабочие станции совершенно не осознавая угрозы.

Будь то в результате преднамеренного совершения преступления или непреднамеренного несчастного случая, наибольшую угрозу информационной безопасности организации представляют сотрудники, ежедневно использующие сетевые ресурсы.

Почему инсайдерские атаки являются угрозой?

Причина, по которой инсайдерские атаки остаются одной из самых больших угроз информационной безопасности, наличие которой можно наблюдать год за годом, заключается в том, что они имеют огромный потенциал для нанесения ущерба. Один недовольный или неосторожный сотрудник может создать серьёзную брешь в системе безопасности вашей сети, допустить серьезное нарушение безопасности данных — их утечку или повреждение.

Особенно серьёзной этот вид угрозы информационной безопасности является из-за трудностей в предсказании и предотвращении, без тщательной подготовки это становится практически невыполнимой задачей.

Классификация угроз информационной безопасности

Принято выделять категории угроз ИБ, которые классифицируются по разным признакам:

  • по части системы информационной безопасности, в отношении которой идут угрозы (конфиденциальности, целостности, доступности).
  • по местонахождению источника (наружные, внутренние);
  • по объему предполагаемого нанесенного ущерба (общий, локальный, частный);
  • по уровню воздействия на ИБ (пассивные, активные);
  • по характеру появления (естественные, искусственные/объективные, субъективные).

В качестве угрозы ИБ понимается потенциально вероятное событие или действие, которое способно нанести системе ущерб. Экспертами в сфере информационной безопасности насчитывается около 100 различных видов угроз ИБ, поэтому ИБ-специалисты во время своей профессиональной деятельности должны анализировать все риски с использованием различных диагностических методик для формирования эффективной защитной системы от потенциальных угроз.

Наиболее частыми угрозами, которые сейчас встречаются в мировом информационном пространстве, являются:

  • Нежелательный контент. Вредоносное ПО, опасный софт, ненужный спам, веб-ресурсы, которые запрещены законами страны, нежелательные порталы с данными, которые не соответствуют возрасту или типу потребителя контента.
  • Несанкционированный доступ. Просмотр и использование в определенных целях информации лицами, которые не имеют к ней разрешенной доступа. Несанкционированный доступ становится причиной утечки данных. Организация утечек может происходит различными методами: кибератаки на сайты, взлом приложений, перехват трафика, применение вредоносного ПО и т. д.
  • Потеря данных. Одна из главный угроз ИБ. Целостность информации нарушается при неисправности используемого оборудования, при преднамеренных действиях сотрудников компании или третьих лиц.

Права доступа

Так именуются возможности субъекта информационных отношения осуществлять определенные операции с получаемыми данными.

К ним относятся:

  • Право на ознакомление с доступным знанием.
  • Право на внесение изменений в информацию. Данная возможность, как правило, доступна только владельцам и администраторам систем, в редких случаях ограниченному кругу пользователей.
  • Право на копирование и хранение доступно еще меньшему количеству лиц, особенно, если данные являются объектом чьего-то авторского права или конфиденциальны.
  • Право на уничтожение данных принадлежит их официальному владельцу или уполномоченному администратору.

Субъективные уязвимости

Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:

ошибки

  • при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения , инсталляции и загрузке программного обеспечения , эксплуатации программного обеспечения , вводе данных )
  • при управлении сложными системами (при использовании возможностей самообучения систем , настройке сервисов универсальных систем , организации управления потоками обмена информации )
  • при эксплуатации технических средств (при включении/выключении технических средств , использовании технических средств охраны , использовании средств обмена информацией )

нарушения

  • режима охраны и защиты (доступа на объект , доступа к техническим средствам )
  • режима эксплуатации технических средств (энергообеспечения , жизнеобеспечения )
  • режима использования информации (обработки и обмена информацией , хранения и уничтожения носителей информации , уничтожения производственных отходов и брака )
  • режима конфиденциальности (сотрудниками в нерабочее время , уволенными сотрудниками ).

Суверенный Рунет и средства его мониторинга

Закон об автономном Рунете, подписанный Президентом России Владимиром Путиным в начале мая 2019 г., предполагает создание национальной системы маршрутизации трафика, при которой Рунет сможет работать в случае масштабной атаки извне.

Основной задачей закона является введение механизма централизованного управления сетями связи, который позволит Роскомнадзору в случае возникновения угроз управлять российским сегментом интернета, а также блокировать запрещенные сайты.

Согласно закону, операторы связи, организаторы обмена информации, владельцы сетей связи и автономных интернет-систем должны устанавливать специальное оборудование для противодействия технологическим угрозам. Оборудованием управляет Роскомнадзор, для указанных лиц оно будет устанавливаться бесплатно. За сбои в работе сетей, вызванные работой этого оборудования, операторы ответственности не несут.

В феврале 2019 г. CNews сообщил о том, что Правительство приняло решение о создании Центра мониторинга сетей связи. На эти цели из бюджета было выделено 1,5 млрд руб.

В центре будет работать не более 70 человек, работы по его созданию были возложены на Роскомнадзор при участии подведомственного ему «Главного радиочастотного центра» (ГРЧЦ). Роскомнадзор также распределил 5 млрд руб. субсидий на создание собственно Центра мониторинга сетей связи, а также на средства сбора информации о маршрутах трафика в интернете и создание «белых списков».

Монтаж и пилотные испытания оборудования для выполнения закона об автономном Рунете были начаты Роскомнадзором в сентябре 2019 г.

Первые учения по обеспечению устойчивого, безопасного и целостного функционирования интернета проводились Минкомсвязи в декабре 2019 г. В учениях принимали участие Роскомнадзор, Россвязь, ФСБ, ФСТЭК, ФСО, МВД, Минобороны, Минэнерго, МЧС и Росгвардия, а также «Вымпелком» (бренд «Билайн»), «Мобильные телесистемы» (МТС), «Мегафон», Tele2, «Ростелеком» (включая «Ростелеком-Солар»), «Транстелеком», «Современные радиотехнологии» (бренд «Стриж»), Group IB, «Позитив технолоджис» и «Лаборатория Касперского».

Угрозы суверенному Рунету

Правительство утвердило «Правила централизованного управления сетью связи общего пользования», в которых сформулированы определения разновидностей угроз Рунету. Об этом сообщается в указе №127 от 12 февраля 2020 г., опубликованном сегодня на официальном интернет-портале правовой информации.

В документе определены три типа угроз функционированию интернета на территории России: угрозы устойчивости, безопасности и целостности функционирования Рунета.

Интернет-угрозы определяются Минкомсвязи, Роскомнадзором и ФСБ в рамках компетенции каждого учреждения по результатам учений и исследований устойчивости, безопасности и целостности интернета и сетей связи общего пользования. Централизованный мониторинг угроз возложен на Роскомнадзор.

В список участников процесса включены операторы связи, собственники и владельцы сетей и линий связи, точек обмена трафиком, пересекающих государственную границу России, а также распространители информации и иные лица с уникальным идентификатором средств связи (номером автономной системы).

Документ определяет угрозу устойчивости функционирования интернета и сетей связи общего пользования как ситуацию, при которой нарушается работоспособность сети связи при неисправности ее фрагмента, а также в условиях внешних дестабилизирующих воздействий природного и техногенного характера.

Защита информации от умышленных угроз

В зависимости от функциональности, средства обеспечения защиты информации можно разделить на следующие виды:

  • Средства и методы предотвращения. Они направлены на создание условий, при которых вероятность возникновения и реализации умышленных угроз утечки информации будет устранена или минимизирована.
  • Средства обнаружения. Они предназначаются для обнародования возникающих угроз или вероятности их возникновения, а также для сбора дополнительных сведений.
  • Средства ослабления. Они предназначаются для ликвидации возникающих угроз утечки информации. 
  • Средства реставрации. Они нужны для возобновления функций поврежденной системы.

Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».   

Создание системы защиты информации от непреднамеренных или умышленных угроз со стороны сотрудников и сторонних лиц – важнейший вопрос в обеспечении информационной безопасности. Существенную роль в его решении играют организационные методы в комплексе с обновленным технологическими решениями. Организационный метод включает обучения персонала, формирование доверительной атмосферы в компании, устранение конфликтных ситуаций между персоналом и руководством. На техническом уровне регулярно проводится контроль доступа к ценным ресурсам компании, отслеживание всех действий персонала в IT-системе компании.

Для обеспечения безопасности информации не всегда хватает усилий сотрудников и руководства компании. Чтобы защититься от всех существующих угроз, иногда нужно прибегать к помощи со стороны. Речь идет о специальных компаниях, которые предоставляют комплексные услуги по предотвращению утечек информации, хакерских атак и других угроз информационным активам предприятия. С их помощью защищать важные данные проще и надежней. 

Документы Банка России о рисках информационной безопасности

  1. Письмо ЦБ РФ от 7 декабря 2007 г. № 197-Т “О рисках при дистанционном банковском обслуживании”
  2. Указание Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”
  3. Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»

Письмо ЦБ РФ от 7 декабря 2007 г. № 197-Т “О рисках при дистанционном банковском обслуживании”

  • Осуществление DoS/DDoS атак в отношении серверов ДБО.
  • Кража персональной информации клиентов банка за счет фишинга через электронную почту.
  • Кражи реквизитов платежных карт при помощи скиминговый атак и фальшивых банкоматов.
  • Кража реквизитов доступа клиентов к системам ДБО при помощи социальной инженерии и телефонного мошенничества.

Указание Банка России от 10 декабря 2015 г. № 3889-У „Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”

  • угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
  • угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
  • угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
  • угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
  • угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.

Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»Процедура 1.Процедура 2.Процедура 3.Процедура 4.Процедура 5.Процедура 6.Класс 1.Класс 2.Класс 3.Класс 4.Класс 5.Класс 6.Класс 7.

Используйте атрибуты aria

Чтобы полноценно описать всю страницу и роли элементов, недостаточно семантических тегов и альтернативного текста. В результате люди с ограниченными возможностями не могут интерпретировать содержание.

Решение. При необходимости используйте атрибуты aria для предоставления дополнительной информации о вспомогательных технологиях. Например:

  • используйте атрибут role, если роль элемента неясна,
  • прописывайте свойства для придания элементам дополнительного значения или семантики, например: aria-labelledby,
  • указывайте состояния элементов, например: пропишите aria-disabled = «true», чтобы сообщить вспомогательным технологиям, что элемент отключен.

Если нужно полностью скрыть декоративные элементы для программ чтения с экрана, можно использовать атрибут aria-hidden = «true» в элементах HTML.