CC BY
732
УДК: 658 ББК: 32.97-018.2
Третьякова Т.И.
ТИПОВАЯ МОДЕЛЬ НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ
Tretyakova T.I.
TYPICAL MODEL OF OFFENDER SECURITY OF PERSONAL DATA IN A COMMERCIAL ORGANIZATION
Ключевые слова: персональные данные, информационная система персональных данных, модель нарушителя безопасности, угрозы безопасности, каналы атак.
Keywords: personal data, personal data information systems, intruder security model, security threats, attacks channels.
Аннотация: в данной статье представлена типовая модель нарушителя безопасности персональных данных в коммерческой организации. Описаны законодательные аспекты обеспечения безопасности персональных данных. Даны описания понятиям «персональные данные», «обработка персональных данных», «распространение персональных данных», «информационная система персональных данных». В статье представлена структура типовой информационной системы персональных данных коммерческой организации, рассмотрены категории персональных данных, категории и типы нарушителей безопасности персональных данных, угрозы безопасности персональных данных, каналы атак.
Abstract: this article is an exemplary model of offender security of personal data in a commercial organization. We describe the legal aspects of ensuring security of personal data. The descriptions of the concepts of "personal data", "processing of personal data", "dissemination of personal data", "information systems of personal data". The article presents the structure of the standard information system ofpersonal data of a commercial organization, considered the category of personal data, the categories and types of offenders security of personal data, personal data security threats, attacks channels.
Правительство РФ в целях защиты прав и свобод гражданина, в том числе права на неприкосновенность частной жизни, личной и семейной тайны ввело в действие федеральный закон и ряд нормативных документов, устанавливающие определенные требования по защите информационных систем, в которых осуществляется обработка персональных данных граждан
Федеральные документы:
1. Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
3. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обра-
ботке (о намерении осуществлять обработку) персональных данных».
4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
5. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
6. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ О персональных данных».
На рисунке 1 представлена схема, отображающая взаимосвязь федеральных документов по защите персональных данных в РФ.
ФЗ -152 «О персональных данных» обязывает все организации, осуществляющие обработку ПД (операторы персональных данных), провести комплекс мероприятий по защите своих информационных систем персональных данных (ИСПДн) в срок до 1 января 2011 г1.
1 Защита персональных данных [Электронный
Рисунок 1 - Взаимосвязь федеральных
документов по защите персональных данных в РФ
Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физическому лицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.
Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц .
Требования законодательства РФ касаются всех организаций вне зависимости от организационно-правовой формы, так как к информационным системам персональных данных могут быть отнесены, кроме кадровых и бухгалтерских систем, биллинговые системы, call-центры и автоматизированные системы медицинских учреждений, предприятий, госучреждений.
Информация о клиентах, контрагентах, партнерах, посетителях, пациентах, сотрудни-
ков является крайне ценным ресурсом любого коммерческого предприятия. Каждая организация имеет собственные клиентские базы, которые являются важным фактором в коммерческом успехе компании, особенно в среде с жесткой конкуренцией. Хищение, потеря или несанкционированное изменение персональных данных приводит к финансовому ущербу и потери репутации, а порой и к полной остановке деятельности компании, банкротству.
В руках злоумышленника, уволенного или неблагонадежного сотрудника, персональные данные превращаются в оружие преступления, ценный товар для продажи конкуренту. Поэтому персональные данные нуждаются в адекватной, качественной защите.
Согласно документу «Порядок проведения классификации информационных систем персональных данных» типовая информационная система коммерческой организации представляет собой распределенную информационную систему персональных данных. Необходимость создания распределенной ИСПДн возникает по причине территориальной распределенности объектов информационного обмена.
ИСПДн - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств2. [2]
Как правило, типовая ИСПДн коммерческой организации имеет иерархическую структуру. Структура типовой ИСПдн представлена на рисунке 2.
Одним из свойств распределенной ИСПДн является передача ПДн по незащищенному каналу, который представляет из себя сеть связи общего пользования или Интернет. Эта особенность воздействует на множество характеристик безопасности ИСПДн, в том числе появляется необходимость криптографической защиты передаваемых данных и централизации механизмов мониторинга и управления. Это в значительно степени усложняет структуру системы защиты ПДн, взаимосвязи её компонентов с внешней средой системы.
В соответствии с «Порядком проведения классификации информационных систем персональных данных» выделяются 4 категории ПДн в рамках ИСПДн (рисунок 3).
ресурс]. - Режим доступа: http://elkursk.ru/
1 Луканин И. 5 базовых принципов закона о персональных данных, о которых нужно знать. [Электронный ресурс]. - Режим доступа: https://kontur.ru/articles/1293
Ильгова О. Что такое ИСПДн? Какие классы защищенности ИСПДн существуют? [Электронный песупс!. - Режим доступа: https://help.dnevnik.ru/hc/ru/articles/ 203475238
Контролируемая зона головного офиса
Рисунок 2 - Структура типовой ИСПДн коммерческой организации
К4 КЗ К2
общедоступные персональные данные, например, список редакции журнала или
от 1 ООО до 100 ООО
человек: данные,
позволяющие идентифицировать субъекта персональных данных, например, ФИО + место
в пределах конкретной организации: данные позволяющие идентифицировать субъекта персональны дан н ых и получ ить о нем дополн ительную
информацию, например, сведения с доходах
более 100 ООО человек: данные,
позволяющие идентифицировать субъекта персон альныхданных, например, ФИО +■ место рождения
от 1 ООО до 100 000 человен: данные,
позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную
информацию, например, сведения о доходах
К1
данные, позволяющие
идентифицировать субъекта персональных данных и получить о нем дополнительную
информацию, например, сведения о доходах
данные о расовой,
национальной принадлежности, религиозных и филосовских убеждений, состояния здоровья, интимной жизни, например, результаты мед. осмотра
Классификация источников угроз безопасности ПДн в ИСПДн коммерческих органи-
Рисунок 3 - Категории ПДн
зациях представлена на рисунке 4.
Рисунок 4 - Классификация источников угроз безопасности ПДн в ИСПДн
Классификация источников угроз безо- зациях представлена на рисунке 5. пасности ПДн в ИСПДн коммерческих органи-
Рисунок 5 - Классификация источников угроз безопасности ПДн в ИСПДн
Одним из главных источников угроз несанкционированного доступа к ПДн в ИС является человек - нарушитель безопасности ПДн.
Анализируя статистические данные, можно сделать вывод, что около 75% всех нарушений, связанных с безопасностью ПДн, совершаются именно сотрудниками
организации. Человек является первым по значимости носителем информации. Он обеспечивает функционирование ИСПДн и ее безопасность, но при определенных обстоятельствах человек может стать главным источником угрозы защищаемых ПДн.
В связи с этим целесообразно каждой коммерческой организации разработать
собственную модель нарушителя безопасности ИСПДн, которая отразит его потенциальные возможности, априорные знания, время и место действия и т.п.
Модель нарушителя должна содержать классификацию нарушителей, описание предположений о возможностях нарушителя, которые он может использовать для разработки и реализации атак, а также об ограничениях на эти возможности.
Все физические лица, имеющие доступ к средствам ИСПДн делятся на две категории нарушителей (рисунок 6). Потенциальные нарушители безопасности ИСПДн делятся на внешние и внутренние.
Нарушитель безопасности ПДн
Нарушитель | категорш Нарушитель II категории
Рисунок 6 - Типы и категории нарушителей безопасности ПДн
Классификация типов нарушителей по возможностям доступа к различным компонентам узла представлена в таблице 1.
Основными угрозами безопасности ИСПДн коммерческих организаций являются:
1. Угрозы утечки информации по техническим каналам.
2. Угрозы использования уязвимостей ИСПДн.
3. Угроз непосредственного доступа в операционную среду ИСПДн.
4. Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия.
Таблица 1 - Типы нарушителей1
5. Угрозы программно-математического воздействия.
6. Угрозы несанкционированного физического доступа к съемным носителям информации.
7. Угрозы доступа к техническим средствам и системам обеспечения функционирования ИСПДн.
8. Угрозы разглашения информации. Возможности нарушителей по реализации
угроз для ИСПДн представлены на рисунках 7 -14.
« к к а Тип 1 Физические лица, ведущие злоумышленную деятельность.
к т Организованные преступные группы, сообщества.
Тип 2 Посетители, имеющие разовый доступ к контролируемой зоне.
Определенные категории обслуживающего персонала и представителей ремонтных организаций, не имеющих доступ к компонентам ИСПДн.
« к к к и Л Тип 3 Представители технических и обслуживающих служб, консультационных и других вспомогательных служб, находящихся в пределах контролируемой зоны на постоянной основе или периодически.
н Тип 4 Сотрудники, не являющиеся операторами и администраторами ИСПДн.
т Тип 5 Операторы АРМ, терминального клиента ИСПДн.
Тип 6 Администраторы ИСПДн.
Тип 7 Сотрудники организаций, осуществляющие обслуживание ИСПДн на постоянной основе в соответствие с заключенными договорами.
Нарушитель тип 2 Нарушитель тип 3 Нарушительтип 4
Рисунок 7 - Возможности нарушителей по реализации угрозы утечки информации
по техническим каналам связи
Рисунок 8 - Возможности нарушителей по реализации угрозы использования уязвимостей
ИСПДн
1 Модель угроз и нарушителя безопасности информационных системах персональных данных http://minsvyaz.ru/common/upload/ publication/1410084of.pdf
персональных данных, обрабатываемых в специальных отрасли [Электронный ресурс]. - Режим доступа:
Рисунок 9 - Возможности нарушителей по реализации угрозы непосредственного доступа в
операционную среду ИСПДн
Рисунок 10 - Возможности нарушителей по реализации угрозы, реализуемые с использованием
протоколов межсетевого взаимодействия
Рисунок 11 - Возможности нарушителей по реализации угрозы программно-математического
воздействия
Рисунок 12 - Возможности нарушителей по реализации угрозы несанкционированного физического доступа к съемным носителям информации
Рисунок 13 - Возможности нарушителей по реализации угрозы доступа к техническим средствам и системам обеспечения
Рисунок 14 - Возможности нарушителей по реализации угрозы разглашения информации
Основными каналами атак являются:
- внешние каналы связи, не защищенные от несанкционированного доступа к информации организационно-техническими мерами;
- штатные средства;
- каналы непосредственного доступа к объекту атаки (визуальный, физический);
- машинные носители информации;
- носители информации, выведенные из употребления.
Основные элементы канала реализации угроз безопасности ПДн представлены на рисунке 15.
Рисунок 15 - Общая схема канала реализации угроз безопасности ПДн
Возможные каналы атак ограничены следующими предположениями:
- доступ в контролируемую зону подразделения организации, помещения регламентирован и контролируется установленным режимом;
- в пределах контролируемой зоны серверное оборудование, каналы связи и коммуникационное оборудование доступно только для администраторов, доступ пользователей и обслуживающего персонала ограничен по уста-новле нным правилам;
- обслуживающий персонал при работе в помещениях, где находятся компоненты
ИСПДн, сотрудники, не являющиеся пользователями, находятся в помещениях с компонентами узлов только в присутствии сотрудников узлов;
- внутренний нарушитель (тип 5) самостоятельно осуществляет создание методов и средств реализации атак, а также самостоятельно реализует атаки. При этом внутренний нарушитель данного типа ограничен организационно-техническими мерами и технологиями процессов обработки защищаемой информации.
На рисунке 16 представлена общая модель безопасности ИСПДн коммерческой организации.
Владелец коммерческой организации
стр емится
Рисунок 16 - Общая модель безопасности ИСПДн коммерческой организации
Данная модель представляет собой базу для разработки частных моделей безопасности ПДн для специальных ИСПДн конкретных коммерческих организаций с учетом характеристик функционирования.
Основные положения модели должны быть детализированы при разработке частных моделей с учетом документов ФСТЭК России
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Защита персональных данных [Электронный ресурс]. - Режим доступа: http://elkursk.ru/
2. Луканин, И. 5 базовых принципов закона о персональных данных, о которых нужно знать [Электронный ресурс]. - Режим доступа: https://kontur.ru/articles/1293.
3. Ильгова, О. Что такое ИСПДн? Какие классы защищенности ИСПДн существуют? [Электронный ресурс]. - Режим доступа: https://help.dnevnik.ru/hc/ru/articles/203475238.
4. Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в специальных информационных системах персональных данных отрасли. Министерство связи и массовых коммуникаций Российской Федерации. Москва, 2010 [Электронный ресурс]. - Режим доступа: http://minsvyaz.ru/common/upload/publication/1410084of.pdf
5. Андрианов, В.В., Зефиров, С.Л., Голованов, В.Б., Голдуев, Н.А. Обеспечение информационной безопасности бизнеса. - М.: Альпина Паблишера, 2011. - 373 с.
6. Курбатов, В.А., Петренко, С.А. Политики информационной безопасности. - М.: Компания АйТи, 2006.
7. Мухачев, В.А., Хорошко, В.А. Методы практической криптографии. - К.: Полиграф-Консалтинг , 2005. - 215 с.
8. Парошин, А.А. Информационная безопасность: стандартизированные термины и понятия. -Владивосток: Изд-во Дальневост. ун-та, 2010. - 216 с.
9. Петренко, С.А., Курбатов, В.А. Политики безопасности компании при работе в интернет. -М.: ДМК, 2011.
10. Прохоров, С.А., Федосеев, А.А., Денисов, В.Ф., Иващенко, А.В. Методы и средства проектирования профилей интегрированных систем обеспечения комплексной безопасности предприятий наукоемкого машиностроения. - Самара: Самарский научный центр РАН, 2009 - 199 с.
11. Прохоров, С.А., Федосеев, А.А., Иващенко, А.В. Автоматизация комплексного управления безопасностью предприятия. - Самара: СНЦ РАН, 2008 - 55 с.
12. Романец, Ю.В., Тимофеев, П.А., Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях / под ред. В.Ф. Шаньгина. - 3-е изд, перераб. и доп. - М.: Радио и связь, 2007. - 376 с.
13. Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин. -М.: ДМК Пресс, 2012. - 592 с.
14. Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
15. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
16. Постановление Правительства РФ РФ от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" (в ред. Постановлений Правительства РФ от 23.04.1996 № 509, от 29.03.1999 № 342, от 17.12.2004 № 808).
17. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».
18. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
19. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
20. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
