Персональные данные: определение, угрозы, защитные меры и ответственность за разглашение согласно нормативно-правовым документам

Размещено на http://www.allbest.ru/

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего образования

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ»

(СПбГЭУ)

Факультет информатики и прикладной математики

Кафедра вычислительных систем и программирования

КОНТРОЛЬНАЯ РАБОТА

по дисциплине: «Международные и российские нормативные акты и стандарты по информационной безопасности»

Персональные данные: определение, угрозы, защитные меры и ответственность за разглашение согласно нормативно-правовым документам

Направление 10.03.01 «Информационная безопасность»

Направленность «Безопасность компьютерных систем в экономике и управлении»

Обучающаяся:

Теслева Елизавета

Санкт-Петербург 2021

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Источниками угроз безопасности персональных данных могут являться как внутренние нарушители, то есть собственные сотрудники, так и внешние нарушители, использующие в качестве реализации угрозы каналы связи, компьютерные сети и Интернет. Кроме того, угрозы безопасности могут возникать при внедрении в информационную систему вредоносных программ и вирусов.

Способами реализации угроз безопасности могут быть несанкционированный доступ к информации, утечка по техническим каналам, а также специальные воздействия на персональные данные либо информационную систему.

Угрозы несанкционированного доступа к персональным данным, обрабатываемым в информационной системе, могут осуществляться при помощи программных и аппаратно-программных средств. При этом происходит нарушение режима конфиденциальности в отношении персональных данных путем их неправомерного копирования и/или распространения. Также защищаемые персональные данные могут быть изменены или уничтожены нарушителем, что может также повлечь собой значительные последствия. В ходе реализации угрозы несанкционированного доступа могут быть созданы нештатные режимы работы операционной среды или программного обеспечения, которые возможно будут использованы нарушителем для кражи информации либо воздействия на нее извне.

При реализации угрозы безопасности злоумышленником могут использоваться различные уязвимости, в том числе недостаточный уровень защиты, несовершенство системного и прикладного программного обеспечения, а также протоколов сетевого взаимодействия информационной системы.

Другим видом угроз безопасности персональных данных являются угрозы, реализуемые при помощи технических каналов, таких как утечка речевой, видовой информации, содержащей персональные данные, утечка персональных данных, обрабатываемых в информационных системах, по каналу электромагнитных излучений и наводок (ПЭМИН). Такие угрозы как правило рассматриваются в отношении информационных систем высшего класса, в которых обрабатываются специальные категории персональных данных, касающиеся национальной и расовой принадлежности человека, его религиозных либо философских убеждений, здоровья и интимной жизни. В соответствии с требованиями законодательства для информационных систем разрабатывается специальная модель угроз, при составлении которой анализируются отдельные уязвимости и угрозы, вычисляется их актуальность, определяется достаточность существующих и необходимость дополнительных методов и средств защиты.

Предоставляя свои персональные данные для хранения, использования, изменения и т.д., субъект рассчитывает на то, что они будут защищены от несанкционированного доступа, применения, распространения и уничтожения. Чтобы обеспечить безопасность, операторы ПДн обязаны спроектировать систему противодействия атакам нарушителей, а для этого, прежде всего, необходимо определить, от кого и каких действий опасаться. Мировая и российская практики показывают, что наиболее результативными являются те СЗПДн, которые созданы на основе детально проработанных угроз. Определиться с факторами, способными привести к нарушению безопасности, можно только разобравшись, какие угрозы ПДн существуют, а также какие у них могут быть источники.

Классификация угроз безопасности персональных данных

Для каждого из существующих видов информационных систем ПДн требуется создание особой модели факторов риска. При этом количество обстоятельств и действий, способных тем или иным способом влиять на их функционирование, очень велико. Облегчить выявление опасностей позволяет их разделение по следующим признакам:

1. По разновидности источников выделяют возникающие из-за свойств используемых технических средств, стихийных явлений, действий персонала либо посторонних лиц посредством международных и внутрироссийских сетей. Отдельную группу составляют угрозы ПД, спровоцированные вирусами и аппаратными закладками. Примечательно, что не существует четких инструкций по обнаружению недекларированных опций, что заставляет операторов действовать на свой страх и риск. Наиболее безопасный вариант -- пользоваться лицензированными программами серийного выпуска с многочисленными положительными отзывами от экспертов (хотя 100% гарантии отсутствия неуказанных функций никто не даст).

2. По используемому способу реализации. Оценить факторы риска можно через специальное воздействие, утечку по техническим каналам, в результате НСД.

3. По типу ИСПДн. В данном случае принято выделять не подробные списки, а классы в зависимости от структуры, которая подвергается опасности. Различают УБ, касающиеся операций в локальных ИС, на автоматизированных рабочих местах и в распределенных системах.

4. По совершаемым несанкционированным действиям. Здесь принято выделять угрозы, которые при отсутствии прямого воздействия на содержание сведений приводят к нарушению конфиденциальности ПДн.

5. По уязвимости. Риски могут быть обусловлены системным прикладным программным обеспечением, протоколами сетевого обмена, недостаточно тщательно проработанными техническими каналами средствами информационной защиты.

6. По тому, на какой объект осуществляется воздействие -- на АРМ, сети связи, системный софт, прикладные утилиты, выделенные средства работы с информацией.

Какие выделяют источники угроз безопасности персональных данных?

Определение каналов и причин, приводящих к НСД и неправомерным действиям, имеет первоочередное значение, и с этого нужно начинать при построении модели УБПДн. Всего есть три типа источников, каждый из которых имеет свои особенности.

Антропогенные

Личность (субъектов может быть несколько), которая имеет возможность совершать операции с конфиденциальной информацией. Доступ может быть как санкционированным, так и несанкционированным. В эту группу входят следующие источники угроз персональных данных:

1. Внешние -- поставщики услуг, работники контролирующих государственных органов и аварийных служб, а также хакеры, представители конкурирующих организаций. Их действия могут быть преднамеренными, то есть направленными на получение сведений, или неспециальными, например, если утечка происходит в результате технического сбоя или непрофессионального составления проекта информационной системы.

2. Внутренние -- штатные сотрудники, в частности, работники программного отдела, кадровой службы, техперсонал или представители СБ компании. В процессе своей деятельности они могут подвергать СЗПДн опасности из-за некомпетентности и ошибочных действий, применения неучтенного софта, искажения и уничтожения компонентов программ, предоставления доступа неуполномоченным лицам или игнорирования правил хранения ПДн. Причиной утечки может стать также самовольное изменение параметров системы защиты и замалчивание фактов потери информации, находящейся в ограниченном доступе (паролей, ключей и т.д.).

Стихийные

Наиболее сложно прогнозируемые ввиду огромного разнообразия, причин возникновения и способов проявления. Преимущественно это те факторы, на которые оператор никаким образом не способен повлиять:

· наводнения;

· цунами;

· пожары;

· ураганы;

· оползни;

· радиационные катастрофы;

· военные конфликты.

Техногенные

Эти источники обусловлены применяемыми техническими средствами и бывают двух разновидностей:

· внутренние -- это аппаратные закладки, вирусы и прочие вредоносные программы, системы охраны и сигнализации, низкокачественный софт и оборудование, задействованное в процессе обработки персональных данных;

· внешние -- составляющие инфраструктурного назначения, например, линии телефонной и интернет-связи, системы отопления, канализации, водоснабжения, газоснабжения.

Обеспечение защиты операций с ПДн

Выявленные угрозы безопасности персональных данных -- это то, что дает возможность в дальнейшем принять меры профилактики и быстрого реагирования. Без определения факторов риска невозможно привести бизнес в соответствие с требованиями Роскомнадзора, ФСБ и ФСТЭК, а за нарушение нормативов ФЗ-152 предусмотрены различные виды ответственности.

Пренебрегать выявлением потенциальных опасностей однозначно не стоит, но и поручать эту работу непрофессионалам нельзя. Тут нужны специалисты именно по обеспечению безопасности ПДн, которые разбираются в законодательных требованиях, технических и организационных аспектах. Если в штате их нет, то есть смысл привлечь наших сотрудников в формате аутсорсинга. Так вы существенно сэкономите время и ресурсы на составление моделей угроз, а также сможете быть уверенными в отсутствии возможных претензий со стороны надзорных органов.

Ответственность за разглашение персональных данных

В соответствии с положениями ст. 3 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Таким образом, сведения о фамилии, об имени, отчестве, а также адресе физического лица, составе его семьи и др. являются персональными данными, не относящимися к общедоступным. Их распространение возможно только с согласия в письменной форме субъектов персональных данных.

За нарушение данного правила установлена ответственность.

В соответствии со ст. 24 Закона №152-ФЗ лица, виновные в нарушении требований настоящего Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

В частности, ст. 13.11 КоАП РФ предусмотрено, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей, на должностных лиц - от пятисот до одной тысячи рублей, на юридические лица - от пяти тысяч до десяти тысяч рублей. безопасность персональный угроза несанкционированный

В соответствии с частью 1 статьи 23 Федерального закона от 27.07.2006г. №152 - ФЗ «О персональных данных», Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным Постановлением Правительства Российской Федерации от 16.03.2009 №228, уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, в полномочия которого входит осуществление контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Обращения о фактах нарушения законодательства о персональных данных следует направлять в Управление Роскомнадзора по Кировской области (610001, г.Киров, ул.Комсомольская, д.43) или органы прокуратуры.

Размещено на Allbest.ru