Персональные данные: определение, угрозы, защитные меры и ответственность за разглашение согласно нормативно-правовым документам
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, случайного доступа к персональным данным. Способы реализации угроз безопасности. Ответственность за разглашение персональных данных.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | контрольная работа |
Язык | русский |
Дата добавления | 23.05.2022 |
Размер файла | 21,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение высшего образования
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ»
(СПбГЭУ)
Факультет информатики и прикладной математики
Кафедра вычислительных систем и программирования
КОНТРОЛЬНАЯ РАБОТА
по дисциплине: «Международные и российские нормативные акты и стандарты по информационной безопасности»
Персональные данные: определение, угрозы, защитные меры и ответственность за разглашение согласно нормативно-правовым документам
Направление 10.03.01 «Информационная безопасность»
Направленность «Безопасность компьютерных систем в экономике и управлении»
Обучающаяся:
Теслева Елизавета
Санкт-Петербург 2021
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Источниками угроз безопасности персональных данных могут являться как внутренние нарушители, то есть собственные сотрудники, так и внешние нарушители, использующие в качестве реализации угрозы каналы связи, компьютерные сети и Интернет. Кроме того, угрозы безопасности могут возникать при внедрении в информационную систему вредоносных программ и вирусов.
Способами реализации угроз безопасности могут быть несанкционированный доступ к информации, утечка по техническим каналам, а также специальные воздействия на персональные данные либо информационную систему.
Угрозы несанкционированного доступа к персональным данным, обрабатываемым в информационной системе, могут осуществляться при помощи программных и аппаратно-программных средств. При этом происходит нарушение режима конфиденциальности в отношении персональных данных путем их неправомерного копирования и/или распространения. Также защищаемые персональные данные могут быть изменены или уничтожены нарушителем, что может также повлечь собой значительные последствия. В ходе реализации угрозы несанкционированного доступа могут быть созданы нештатные режимы работы операционной среды или программного обеспечения, которые возможно будут использованы нарушителем для кражи информации либо воздействия на нее извне.
При реализации угрозы безопасности злоумышленником могут использоваться различные уязвимости, в том числе недостаточный уровень защиты, несовершенство системного и прикладного программного обеспечения, а также протоколов сетевого взаимодействия информационной системы.
Другим видом угроз безопасности персональных данных являются угрозы, реализуемые при помощи технических каналов, таких как утечка речевой, видовой информации, содержащей персональные данные, утечка персональных данных, обрабатываемых в информационных системах, по каналу электромагнитных излучений и наводок (ПЭМИН). Такие угрозы как правило рассматриваются в отношении информационных систем высшего класса, в которых обрабатываются специальные категории персональных данных, касающиеся национальной и расовой принадлежности человека, его религиозных либо философских убеждений, здоровья и интимной жизни. В соответствии с требованиями законодательства для информационных систем разрабатывается специальная модель угроз, при составлении которой анализируются отдельные уязвимости и угрозы, вычисляется их актуальность, определяется достаточность существующих и необходимость дополнительных методов и средств защиты.
Предоставляя свои персональные данные для хранения, использования, изменения и т.д., субъект рассчитывает на то, что они будут защищены от несанкционированного доступа, применения, распространения и уничтожения. Чтобы обеспечить безопасность, операторы ПДн обязаны спроектировать систему противодействия атакам нарушителей, а для этого, прежде всего, необходимо определить, от кого и каких действий опасаться. Мировая и российская практики показывают, что наиболее результативными являются те СЗПДн, которые созданы на основе детально проработанных угроз. Определиться с факторами, способными привести к нарушению безопасности, можно только разобравшись, какие угрозы ПДн существуют, а также какие у них могут быть источники.
Классификация угроз безопасности персональных данных
Для каждого из существующих видов информационных систем ПДн требуется создание особой модели факторов риска. При этом количество обстоятельств и действий, способных тем или иным способом влиять на их функционирование, очень велико. Облегчить выявление опасностей позволяет их разделение по следующим признакам:
1. По разновидности источников выделяют возникающие из-за свойств используемых технических средств, стихийных явлений, действий персонала либо посторонних лиц посредством международных и внутрироссийских сетей. Отдельную группу составляют угрозы ПД, спровоцированные вирусами и аппаратными закладками. Примечательно, что не существует четких инструкций по обнаружению недекларированных опций, что заставляет операторов действовать на свой страх и риск. Наиболее безопасный вариант -- пользоваться лицензированными программами серийного выпуска с многочисленными положительными отзывами от экспертов (хотя 100% гарантии отсутствия неуказанных функций никто не даст).
2. По используемому способу реализации. Оценить факторы риска можно через специальное воздействие, утечку по техническим каналам, в результате НСД.
3. По типу ИСПДн. В данном случае принято выделять не подробные списки, а классы в зависимости от структуры, которая подвергается опасности. Различают УБ, касающиеся операций в локальных ИС, на автоматизированных рабочих местах и в распределенных системах.
4. По совершаемым несанкционированным действиям. Здесь принято выделять угрозы, которые при отсутствии прямого воздействия на содержание сведений приводят к нарушению конфиденциальности ПДн.
5. По уязвимости. Риски могут быть обусловлены системным прикладным программным обеспечением, протоколами сетевого обмена, недостаточно тщательно проработанными техническими каналами средствами информационной защиты.
6. По тому, на какой объект осуществляется воздействие -- на АРМ, сети связи, системный софт, прикладные утилиты, выделенные средства работы с информацией.
Какие выделяют источники угроз безопасности персональных данных?
Определение каналов и причин, приводящих к НСД и неправомерным действиям, имеет первоочередное значение, и с этого нужно начинать при построении модели УБПДн. Всего есть три типа источников, каждый из которых имеет свои особенности.
Антропогенные
Личность (субъектов может быть несколько), которая имеет возможность совершать операции с конфиденциальной информацией. Доступ может быть как санкционированным, так и несанкционированным. В эту группу входят следующие источники угроз персональных данных:
1. Внешние -- поставщики услуг, работники контролирующих государственных органов и аварийных служб, а также хакеры, представители конкурирующих организаций. Их действия могут быть преднамеренными, то есть направленными на получение сведений, или неспециальными, например, если утечка происходит в результате технического сбоя или непрофессионального составления проекта информационной системы.
2. Внутренние -- штатные сотрудники, в частности, работники программного отдела, кадровой службы, техперсонал или представители СБ компании. В процессе своей деятельности они могут подвергать СЗПДн опасности из-за некомпетентности и ошибочных действий, применения неучтенного софта, искажения и уничтожения компонентов программ, предоставления доступа неуполномоченным лицам или игнорирования правил хранения ПДн. Причиной утечки может стать также самовольное изменение параметров системы защиты и замалчивание фактов потери информации, находящейся в ограниченном доступе (паролей, ключей и т.д.).
Стихийные
Наиболее сложно прогнозируемые ввиду огромного разнообразия, причин возникновения и способов проявления. Преимущественно это те факторы, на которые оператор никаким образом не способен повлиять:
· наводнения;
· цунами;
· пожары;
· ураганы;
· оползни;
· радиационные катастрофы;
· военные конфликты.
Техногенные
Эти источники обусловлены применяемыми техническими средствами и бывают двух разновидностей:
· внутренние -- это аппаратные закладки, вирусы и прочие вредоносные программы, системы охраны и сигнализации, низкокачественный софт и оборудование, задействованное в процессе обработки персональных данных;
· внешние -- составляющие инфраструктурного назначения, например, линии телефонной и интернет-связи, системы отопления, канализации, водоснабжения, газоснабжения.
Обеспечение защиты операций с ПДн
Выявленные угрозы безопасности персональных данных -- это то, что дает возможность в дальнейшем принять меры профилактики и быстрого реагирования. Без определения факторов риска невозможно привести бизнес в соответствие с требованиями Роскомнадзора, ФСБ и ФСТЭК, а за нарушение нормативов ФЗ-152 предусмотрены различные виды ответственности.
Пренебрегать выявлением потенциальных опасностей однозначно не стоит, но и поручать эту работу непрофессионалам нельзя. Тут нужны специалисты именно по обеспечению безопасности ПДн, которые разбираются в законодательных требованиях, технических и организационных аспектах. Если в штате их нет, то есть смысл привлечь наших сотрудников в формате аутсорсинга. Так вы существенно сэкономите время и ресурсы на составление моделей угроз, а также сможете быть уверенными в отсутствии возможных претензий со стороны надзорных органов.
Ответственность за разглашение персональных данных
В соответствии с положениями ст. 3 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Таким образом, сведения о фамилии, об имени, отчестве, а также адресе физического лица, составе его семьи и др. являются персональными данными, не относящимися к общедоступным. Их распространение возможно только с согласия в письменной форме субъектов персональных данных.
За нарушение данного правила установлена ответственность.
В соответствии со ст. 24 Закона №152-ФЗ лица, виновные в нарушении требований настоящего Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
В частности, ст. 13.11 КоАП РФ предусмотрено, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей, на должностных лиц - от пятисот до одной тысячи рублей, на юридические лица - от пяти тысяч до десяти тысяч рублей. безопасность персональный угроза несанкционированный
В соответствии с частью 1 статьи 23 Федерального закона от 27.07.2006г. №152 - ФЗ «О персональных данных», Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным Постановлением Правительства Российской Федерации от 16.03.2009 №228, уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, в полномочия которого входит осуществление контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Обращения о фактах нарушения законодательства о персональных данных следует направлять в Управление Роскомнадзора по Кировской области (610001, г.Киров, ул.Комсомольская, д.43) или органы прокуратуры.
Размещено на Allbest.ru
...Подобные документы
Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.
контрольная работа [21,5 K], добавлен 07.11.2013Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Появление дронов - фактор, в результате которого существенно упростилась возможность получения доступа к персональным данным граждан. Характеристика особенностей законодательного регулирования беспилотных летательных аппаратов в Российской Федерации.
дипломная работа [51,4 K], добавлен 10.06.2017Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
дипломная работа [1,3 M], добавлен 01.07.2011Классификация угроз информационной безопасности. Ошибки при разработке компьютерных систем, программного, аппаратного обеспечения. Основные способы получения несанкционированного доступа (НСД) к информации. Способы защиты от НСД. Виртуальные частные сети.
курсовая работа [955,3 K], добавлен 26.11.2013Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [449,5 K], добавлен 17.12.2015Анализ сетевой инфраструктуры, специфика среды исполнения и принципов хранения данных. Обзор частных моделей угроз персональных данных при их обработке с использованием внутрикорпоративных облачных сервисов. Разработка способов защиты их от повреждения.
курсовая работа [41,7 K], добавлен 24.10.2013Базовая модель угроз персональных данных, обрабатываемых в информационных системах персональных данных. Метод сокрытия информации в наименьших битах графических контейнеров. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [475,1 K], добавлен 05.12.2014Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.
презентация [2,1 M], добавлен 15.11.2016Технологии защиты персональных данных и их применение. Юридический аспект защиты персональных данных в России. Описание результатов опроса среди рядовых российских пользователей. Прогноз развития технологий в связи с аспектом защиты персональных данных.
дипломная работа [149,6 K], добавлен 03.07.2017Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Исследование возможностей ускорения процессов заполнения базы персональных данных за счет сокращения ручного ввода данных путем применения технологий оптического распознавания символов. Проектирование, реализация и тестирование автоматизированной системы.
дипломная работа [2,6 M], добавлен 10.07.2017Архитектура персональных компьютеров, классификация сетей (глобальные, региональные, локальные), методы доступа к передаче данных и протоколы. Динамические структуры данных; списки, их основные виды и способы реализации; технологии программирования.
шпаргалка [584,9 K], добавлен 09.03.2010