Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных (ИСПДн), производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".
Процедура определения типа угроз безопасности персональных данных, актуальных для ИСПДн, осуществляется в соответствии постановлением Правительства Российской Федерации от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и методического документа "Методика оценки угроз безопасности информации", утвержденного ФСТЭК России 05.02.2021 г.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данной статье рассматривается оператор не являющийся органом государственной власти.
Типы актуальных угроз безопасности персональных данных
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИСПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
- Угрозы 1-го типа актуальны для ИСПДн, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей (НДВ) в системном программном обеспечении, используемом в ИСПДн.
- Угрозы 2-го типа актуальны для ИСПДн, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в прикладном программном обеспечении, используемом в ИСПДн.
- Угрозы 3-го типа актуальны для ИСДн, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении, используемом в ИСПДн.
Возможная угроза безопасности персональных данных
Угроза безопасности информации (персональных данных) признается возможной, если имеются нарушитель или иной источник угрозы, объект, на который осуществляется воздействие, способ реализации угрозы безопасности персональных данных, и реализация угрозы может привести к негативным последствиям:
УБИ.i = [нарушитель (источник угрозы); объекты воздействия; способы реализации угрозы; негативные последствия]
Перечень угроз безопасности информации
Перечень угроз безопасности информации формируется из нормативных правовых актов, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных" и Банка данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
Перечень угроз безопасности информации:
- УБИ.1 Угроза утечки информации;
- УБИ.2 Угроза несанкционированного доступа;
- УБИ.3 Угроза несанкционированной модификации (искажения);
- УБИ.4 Угроза несанкционированной подмены;
- УБИ.5 Угроза удаления информационных ресурсов;
- УБИ.6 Угроза отказа в обслуживании;
- УБИ.7 Угроза ненадлежащего (нецелевого) использования;
- УБИ.8 Угроза нарушения функционирования (работоспособности);
- УБИ.9 Угроза получения информационных ресурсов из недоверенного или скомпрометированного источника;
- УБИ.10 Угроза распространения противоправной информации;
- УБИ.11 Угроза несанкционированного массового сбора информации.
Негативные последствия
Негативными последствиями при реализации угроз безопасности информации (персональных данных) является вред, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
Способы реализации угроз
В постановлением Правительства Российской Федерации от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" определено, что критичным способом реализации угроз безопасности персональных данных является использование НДВ в системном (СП.6.2) и прикладном (СП.6.3) обеспечении, используемом в ИСПДн.
Объекты воздействия
Объектами воздействия в ИСПДн являются системное (К.1.2) и прикладное (К.1.5) программное обеспечение, используемое в ИСПДн.
Возможность реализации НДВ
Возможностью реализации НДВ в системном и прикладном программном обеспечении, используемом в ИСПДн, обладает нарушитель (В.4).
Таким образом возможностью реализации НДВ в системном и прикладном программном обеспечении, используемом в ИСПДн, обладает нарушитель (В.4) с высокими возможностями, а именно специальные службы государств с целью дискредитации или дестабилизации деятельности органа государственной власти. В связи с тем, что оператор не является органом государственной власти соответствие цели и негативного последствия не предполагает потенциальное наличие нарушителя (В.4).
Ввиду отсутствия потенциального наличия нарушителя (В.4) обладающего высоким потенциалом и высоким уровнем квалификации в части применения логических методов при реализации угроз, способных выявить и использовать для реализации угроз безопасности информации НДВ программного обеспечения, то можно сделать вывод о том, что для ИСПДн актуальны угрозы 3-го типа, не связанные с наличием НДВ в системном и прикладном программном обеспечении, используемом в ИСПДн.
Тип угроз безопасности персональных данных, актуальных для ИСПДн устанавливается актом определения типа угроз безопасности персональных данных, актуальных для ИСПДн и (или) моделью угроз безопасности персональных данных.