Заместитель начальника отдела Управления ФСТЭК России по Приволжскому федеральному округу КОШЛАТЫЙ Денис Анатольевич Особенности классификации информационных систем персональных данных. Методика определения актуальных угроз безопасности персональных данных
Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года (статья 25 п. 3 ФЗ «О персональных данных»)
Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) утвержден приказом Гостехкомиссии России от 30 августа 2002 года 282
Руководящий документ Гостехкомиссии России «Автоматизированные системы. Зашита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» утверждён Председателем Гостехкомиссии России 30 марта 1992 г.
КЛАССИФИКАЦИЯ АС П Е Р В А Я Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют разные права доступа к информации. В Т О Р А Я Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют одинаковые права доступа к информации. Т Р Е Т Ь Я Однопользовательская АС, с информацией одного уровня конфиденциальности. 9 КЛАССОВ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА: 1 Б1 А2 Б2 А3 Б3 А1 В1 Г1 Д 3 ГРУППЫ АС:
В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный Состав и функциональное содержание методов и средств зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн П орядок проведения классификации информационных систем персональных данных
Опосредованный ущерб, связан с причинением вреда обществу и(или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде: незапланированных финансовых или материальных затратах субъекта; потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн; нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.). Порядок проведения классификации информационных систем персональных данных
Классификация ИСПДн проводится: КЕМ? – операторами информационных систем; КОГДА? – на этапе создания информационных систем либо в ходе их эксплуатации (для ранее введённых и (или) модернизируемых); ЦЕЛЬ – установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных «Порядок проведения классификации информационных систем персональных данных» «Порядок проведения классификации информационных систем персональных данных»
сбор и анализ исходных данных по информационной системе присвоение информационной системе соответствующего класса документальное оформление результатов Проведение классификации информационных систем включает в себя следующие этапы: Порядок проведения классификации информационных систем персональных данных
категория обрабатываемых в информационной системе персональных данных – Хпд; объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Хнпд; заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе; структура информационной системы; наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; режим обработки персональных данных; режим разграничения прав доступа пользователей информационной системы; местонахождение технических средств информационной системы. Исходные данные для проведения классификации информационной системы
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. Категории обрабатываемых в информационной системе персональных данных – Хпд Порядок проведения классификации информационных систем персональных данных
1.- в информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2.- в информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3.- в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. В зависимости от объема Хнпд может принимать следующие значения: «Порядок проведения классификации информационных систем персональных данных»
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий) Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных Порядок проведения классификации информационных систем персональных данных
«Порядок проведения классификации информационных систем персональных данных» типовые Информационные системы специальные
КЛАСС ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ Хпд категория 4 К4К4К4 категория 3 КЗКЗК2 категория 2 КЗК2К1 категория 1 К1К1К1 Хнпд
класс 1 (К1) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (КЗ) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. КЛАСС ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена ФСТЭК России 15 февраля 2008г. Классификация угроз безопасности персональных данных по видам возможных источников угроз; по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн; по виду несанкционированных действий, осуществляемых с ПДн; по способам реализации угроз; по виду каналов, с использованием которых реализуются те или иные угрозы.
МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя: 1. 1.уровень (степень) исходной защищенности ИСПДн 2. 2.частота (вероятность) реализации рассматриваемой угрозы
Показатели исходной защищенности ИСПДн Технические и эксплуатационные характеристики ИСПДн Уровень защищенности ВысокийСреднийНизкий 1. По территориальному размещению: - распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - локальная ИСПДн, развернутая в пределах одного здания По наличию соединения с сетями общего пользования: -ИСПДн, имеющая многоточечный выход в сеть общего пользования; -ИСПДн, имеющая одноточечный выход в сеть общего пользования; -ИСПДн, физически отделенная от сети общего пользования
Показатели исходной защищенности ИСПДН 3. По встроенным (легальным) операциям с записями баз персональных данных: -чтение, поиск; -запись, удаление, сортировка; -модификация, передача По разграничению доступа к персональным данным: - ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; - ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - ИСПДн с открытым доступом По наличию соединений с другими базами ПДн иных ИСПДн: -интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); -ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн По уровню обобщения (обезличивания) ПДн: -ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли,области, региона и т.д.); -ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; -ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
Показатели исходной защищенности ИСПДН 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: -ИСПДн, предоставляющая всю БД с ПДн; -ИСПДн, предоставляющая часть ПДн; -ИСПДн, не предоставляющие никакой информации
Показатели исходной защищенности ИСПДн Технические и эксплуатационные характеристики ИСПДн Уровень защищенности ВысокийСреднийНизкий 1. По территориальному размещению: - распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - локальная ИСПДн, развернутая в пределах одного здания По наличию соединения с сетями общего пользования: -ИСПДн, имеющая многоточечный выход в сеть общего пользования; -ИСПДн, имеющая одноточечный выход в сеть общего пользования; -ИСПДн, физически отделенная от сети общего пользования
Показатели исходной защищенности ИСПДН 3. По встроенным (легальным) операциям с записями баз персональных данных: -чтение, поиск; -запись, удаление, сортировка; -модификация, передача По разграничению доступа к персональным данным: - ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; - ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - ИСПДн с открытым доступом По наличию соединений с другими базами ПДн иных ИСПДн: -интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); -ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн По уровню обобщения (обезличивания) ПДн: -ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли,области, региона и т.д.); -ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; -ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
Показатели исходной защищенности ИСПДН 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: -ИСПДн, предоставляющая всю БД с ПДн; -ИСПДн, предоставляющая часть ПДн; -ИСПДн, не предоставляющие никакой информации
Исходная степень защищенности определяется следующим образом 1. ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу). 2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности. 3. ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.
При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1 0 - для высокой степени исходной защищенности; 5 - для средней степени исходной защищенности; 10 - для низкой степени исходной защищенности.
Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн УгрозыY1Y2Y=(Y1+Y2) /20 угрозы утечки акустической (речевой) информации 5 угрозы утечки информации по каналу ПЭМИН 5 угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации 5
Автономные АРМ Информационные системы Распределенные информационные системы Локальные информационные системы - без подключения к ССОП или СМИО - с подключением к ССОП или СМИО - без подключения к ССОП или СМИО - с подключением к ССОП или СМИО - без подключения к ССОП или СМИО - с подключением к ССОП или СМИО
Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вводятся четыре вербальных градации вероятности реализации угрозы: маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся) высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации) средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2 0 - для маловероятной угрозы; 2 - для низкой вероятности угрозы; 5 - для средней вероятности угрозы; 10 - для высокой вероятности угрозы.
Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн УгрозыY1Y2Y=(Y1+Y2)/ 20 Возможность реализации угрозы утечки акустической (речевой) информации 500,25 угрозы утечки информации по каналу ПЭМИН 520,35 угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации 5100,75 Коэффициент реализуемости угрозы
По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы 0 < Y < 0,3 - возможность реализации угрозы низкая; 0,3 < Y < 0,6 - возможность реализации угрозы средняя; 0,6 < Y < 0,8 - возможность реализации угрозы высокая; Y > 0,8 - возможность реализации угрозы очень высокая.
Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн УгрозыY1Y2Y=(Y1+Y2)/ 20 Возможность реализации угрозы угрозы утечки акустической (речевой) информации; 500,25низкая угрозы утечки информации по каналу ПЭМИН, 520,35средняя угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации; 5100,75высокая
При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения: высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных. низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
Правила отнесения угрозы безопасности ПДн к актуальной Возможность реализации угрозы (вербальная) Показатель опасности угрозы (вербальный) НизкаяСредняяВысокая Низкаянеактуальная актуальная Средняянеактуальнаяактуальная Высокаяактуальная Очень высокаяактуальная
Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации Постановление Правительства РФ от 17 ноября 2007 г. 781 П О Л О Ж Е Н И Е об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
Структура частной модели угроз безопасности персональных данных 1. Общие положения. 2. Степень исходной защищённости ИСПДн. 3. Угрозы утечки информации по техническим каналам. 4. Угрозы несанкционированного доступа к информации в информационной системе персональных данных. 5. Заключение.
Типовой пример оформления результатов в частной модели угроз Угрозы утечки информации по техническим каналам и за счёт НСД Уровен ь исходн ой защищ ённост и (Y1) Вероятность реализации угрозы (Y2)Коэффиц иент реализуем ости угрозы Y=(Y1+Y2 )/20 Показатель опасности угрозы (определяется на основе опроса специалистов в области ЗИ) Выв од об акт уал ьно сти угро зы Малая вероятн ость (0) Низка я вероят ность (2) Средн яя вероят ность (5) Высокая вероятнос ть (10) Возможно сть реализац ии угрозы Низ кая опа снос ть Сре дня я опа снос ть Высо кая опасн ость Утечка информации по каналу ПЭМИН 52 0,35 данет средняя Утечка речевой информации данет низкая перехват паролей (идентификаторо в) 55 0,5 да средняя
КЛАСС ИНФОРМАЦИОННОЙ СИСТЕМЫ МОЖЕТ БЫТЬ ПЕРЕСМОТРЕН: по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций …» и «Основных мероприятий …» формулируются конкретные организационно- технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
РЕКВИЗИТЫ УПРАВЛЕНИЯ ФСТЭК РОССИИ ПО ПРИВОЛЖСКОМУ ФЕДЕРАЛЬНОМУ ОКРУГУ Для закрытой переписки: Управление ФСТЭК России по Приволжскому федеральному округу, г. Нижний Новгород, проспект Гагарина, д. 60, к. 11. Для открытой переписки: Управление ФСТЭК России по Приволжскому федеральному округу, , г. Нижний Новгород, проспект Гагарина, д. 60, корп. 11. ФАКС: (831) , ТЕЛЕФОН: (831) ОФИЦИАЛЬНЫЙ САЙТ ФСТЭК РОССИИ fstec.ru