Угроза безопасности хранения ПДн в настоящий момент

Содержание

ВВЕДЕНИЕ……………………………………………………………………..2

ГЛАВА I. Основные сведения. ………………………………………………..3
1.1 Общее описание информационных систем персональных данных…………………………………………………………………...3
1.2 Обработка ПДн, субъект и оператор…………………………………..4
1.3 Выявление угроз, нарушители безопасности ПДн……………............4

ГЛАВА II. Угроза безопасности хранения ПДн в настоящий момент……..6
2.1       Случаи нарушения безопасного хранения информации……………………………………………………….....................6
2.2       СКЗИ – современный способ защиты информации…………………..………………………………………...............8

ВЫВОД………………………………………………………………………..10
Список используемых источников…………………………………………..12




ВВЕДЕНИЕ.
«Кто владеет информацией, тот владеет миром» 
Н.М. Ротшильд

В виду введения Федеральный закон "О персональных данных (далее ПДн)" от 27.07.2006 N 152-ФЗ, тема защиты персональных данных стала особо актуальна. Вопрос защиты информации стал очень важным и обсуждаемым как реакция на компьюрные (онлайн и офлайн) преступления.  Подтверждением того, что данная проблема (а именно, угроза безопасности ПДн) очень резко стоит в современном мире, могут являться такие события, как «дело Сноудена» или «Мобильные операторы: инсайдеры слили переговоры чиновников» (которые более подробно будет рассмотрены далее). 
Также стоит отметить, что в Российской Федерации признаются международные стандарты по защите информации, например, ИСО/МЭК 15408–99 «Критерии оценки безопасности информационных технологий («Общие критерии»), который обозначает современнейшие требования по обеспечению безопасности пользования информационными технологиями. Делая вывод из анализа «Общего критерия», необходимо сказать, что оценка каждой возможной угрозы должна производиться на основе информации об источнике опасности, методе его воздействия и множества других факторов. [1] Поэтому методология угроз безопасности ПДн является достаточно сложной и важной наукой, без которой сложно представить мир современных технологий.
Целью моей работы является изучение моделей угроз безопасности ПДн и способов их реализации. Для этого необходимо рассмотреть следующие аспекты данной темы: описать основные модели угроз безопасности ПДн, оценить масштабы ущерба от нарушения конфиденциальности (защищенности) информации. А главное, сделать вывод об общем уровне возможности безопасного хранения персональных данных. 

ГЛАВА I. Основные сведения.
1.1 Общее описание информационных систем персональных данных.
Состав и содержание угроз безопасности ПДн (далее УБПДн) зависит от множества факторов, характеристики которых в первую очередь зависят от типа и свойств информационных систем (далее ИСПДн).
Возможны три типа взаимоотношений ИСПДн:
1. Однотипные системы, т.е. имеющие сходные структуры и только одну категорию ПДн.
2. Разноплановые системы, т.е. имеющие различную структуру и могут
содержать различные категории персональных данных. 
3. Использование одной или несколько однотипных фили разноплановых систем. 
При создании нормативно-правового акта, регулирующего деятельность с ПДн необходимо первоначально перечислить основополагающие характеристики ИСПДн (тип и количество обрабатываемых ПДн, наличие связей ИСПДн с сетями связи общего пользования и (или) сетям международного информационного обмена, виды обработки персональных данных, местонахождение и условия размещения технических средств ИСПДн), а также определить уровни защищенности информационной системы. [3]


1.2 Обработка ПДн, субъект и оператор.
Субъект ПДн - всегда физическое лицо (тот, кому принадлежит информация), которое имеет следующие основные права на свои персональные данные:
* знать о том, как идет процесс обработки его данных;
* требовать от оператора точной информации о состоянии его ПДн 
Если субъект признается недееспособным, то его права на ПДн переходят к его законному представителю. В случае смерти субъекта ПДн права на его личную информации могут перейти к его наследникам, если субъект определил наследника(ов) при жизни. 
Перейдем к понятию «оператор». Оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами участвующее в процессе обработки персональных данных. 
БольшОе количество угроз безопасности ПДн происходит по преднамеренной или случайной вине оператора, т.е. по вине внутренних нарушителей.  [5, с.34-41]

1.3 Выявление угроз, нарушители безопасности ПДн.
Рассмотрим понятие «Угроза безопасности ПДн» - это совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. 
Часто угрозы безопасности ПДн возникают неспециально при работе с ними как сотрудников ИСПДн, так и пользователей. Более громкой огласке придаются дела, связанные с деятельностью иностранных государств, криминальных сообществ, иными словами, когда угроза возникает преднамеренно, от внешних нарушителей.
Создать УБПДн можно путём утечки информации по техническим каналам, либо путём незаконного доступа к данным.
Подробнее поговорим об источниках угроз, появляемых за счет незаконного доступа к данным с использованием штатного или специально программного обеспечения. Субъектами, которые совершают незаконное проникновения в базу данных, являются:
- нарушитель;
- носитель вредоносной программы;
- аппаратная закладка.
Нарушитель – это всегда физическое(ие) лицо(а), случайно или преднамеренно участвующие в операции, создающей угрозу безопасности ПДн. Соответственно, нарушители подразделяются на два типа: те, кто имел законный доступ к информации (внутренние нарушители), и те, кто не имел (внешние нарушители).
Актуальность угрозы – ее возможность реализования и представления опасности для ПДн. А для того, чтобы оценить реализуемость угрозы, необходимо выявить два показателя: уровень исходной защищенности ИСПДн (обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн) и частота (вероятность) реализации рассматриваемой угрозы. [4]

ГЛАВА II. Угроза безопасности хранения ПДн в настоящий момент.
Дадим определение понятию «ФСБ», чтобы лучше понимать, почему одним из ее направлений является обеспечение информационной безопасности. Федеральная служба безопасности Российской Федерации (ФСБ России) — федеральный орган исполнительной власти Российской Федерации, спецслужба, осуществляющая в пределах своих полномочий решение задач по обеспечению безопасности Российской Федерации, в том числе и информационной безопасности РФ. (ФЗ «О Федеральной службе безопасности»). 
Согласно статье 8 Федерального закона от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности», одна из областей деятельности ФСБ является обеспечение информационной безопасности; данная деятельность осуществляется в следующих случаях:
* при создании и реализации государственной и научно-технической политики в сфере обеспечения информационной безопасности;
* при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных типов специальной связи в РФ и её учреждениях, находящихся за пределами Российской Федерации;
* при лицензировании и сертификации отдельных типов деятельности, подразумевающих допуск к государственной тайне России.
2.1 Случаи нарушения безопасного хранения информации.
С каждым годом вопрос о том, насколько сильна угроза небезопасного хранения ПДн, становится всё популярнее. Появляются всё более громкие дела, подтверждающие, что владение информацией – это владение миром.
А с помощью современных технологий возможно получить практически любые ПДн каждого человека, а также  даже следить за индивидом.
Одним из крупных скандалов в России, связанных с проблемой моей работы, стал инцидент «Мобильные операторы: инсайдеры слили переговоры чиновников». Суть его заключалось в том, что инсайдеры из ОАО «МТС» и ОАО «Вымпелком» на протяжении почти двух лет (2010-2012гг) сливали информацию о переговорах трёх абонентов — высокопоставленных российских чиновников. До сих пор остается загадкой, как такую утечку информации могли заметить лишь спустя 2 года. ОАО «МТС» утверждает, что его стороны не было нарушений конфиденциальности, несмотря на то, что виновность мобильного оператора была доказана. Думаю, что не стоит говорить, что в данном примере речь идет не только о раскрытии личной информации индивида, а также, возможно, о раскрытии ПДн, которые относятся к категории «государственная тайна», а их утечка в определенные источники может спровоцировать ужаснейшие последствия для всей страны. 
Также хочется рассказать про самую крупную утечку ПДн в области медицины. Неизвестные злоумышленники взломали сеть американской компании Anthem, которая занимается медицинским страхованием и является одной из крупнейших компаний в этой области в США. Нарушители смогли получить доступ к персональным данным 80 млн человек, в число которых входили как клиенты, так и сотрудники фирмы.
Известно, что были скомпрометированы имена, даты рождения, адреса и номера социального страхования людей, но, благо, злоумышленники не получили информацию о номерах счетов, кредитных карт. В «теневом» секторе экономики не установлена информация о продаже платежных данных клиентов Anthem. Нетрудно предположить, что компании такого типа будут часто страдать от атак хакеров, т.к. в таких организациях находится информация о миллионах людей: номера их счетов, данные о их здоровье и т.п. Все эти ПДн в руках злоумышленников могут сыграть плохую роль в жизни их законных обладателей. 
Приведу пример, который, на мой взгляд, наиболее ярко показывает, как много ПДн каждого человека доступны для тех, кто имеет очень хорошо использовать современные технологии.  Эдвард Джозеф Сноуден, американский технический специалист, бывший сотрудник ЦРУ и АНБ США, в 2013 году отважился рассказать всему миру о том, что все ПДн, которые находятся на электронных носителях, не в безопасности. В 2013 году Э.Сноуден передал газетам «The Guardian» и «The Washington Post» секретную информацию АНБ, подтверждающую, что слежка американских спецслужб идет за всеми без исключения, по всему миру. Благодаря современным технологиям АНБ может узнать, где находится человек, что он говорит и даже смотреть на любого индивида с помощью веб-камеры его гаджета. Э.Сноуден утверждает, что он стремился «рассказать людям о том, что делается от их имени и против них». 


2.2 СКЗИ – современный способ защиты информации.
Программные средства криптографической защиты информации (далее СКЗИ) - это специальный программный комплекс для шифрования данных на носителях информации (флеш-карты, CD/DVD и т.д.) и в Интернете. 
Главным плюсом такого типа защиты информации является возможность сочетания лучших качеств аппаратных и программных систем. А именно, наличие следующих ключевых параметров: 
* Конфиденциальность. Невозможно прочесть ПДн лицам, не имеющих права доступа. Существует особенный ключ (буквенно-численная комбинация) для доступа пользователя к определенному блоку информации. Не имея его, не имеешь и возможность допуска к данным.
* Целостность. Невозможно произвести запрещенные реформирования, например, редактирование или удаление. Т.к. без знания ключа, о котором говорилось ранее, опять же невозможны любые преобразования.
*  Аутентификация. Информация, которая передается по каналам связи, обязательно должна быть подтверждена как со стороны отправляющего, так и со стороны отправляемого. Подтверждены должны быть данные о содержании, о времени отправки, об источнике и о получателе. Стоит отметить, что при использовании СКЗИ невозможно повторно отправить информацию или изменить направление ее, что является еще одним плюсом данной системы.
На данный момент, СКЗИ - это самый надежный способ создать защищенную систему или сеть для передачи, обработки и хранения информации. Установка СКЗИ может быть произведена только квалифицированным персоналом разработчика. 
Обязательное использование СКЗИ необходимо, когда:
- информация должны быть защищена с помощью СКЗИ в связи с постановлением законодательства РФ;
- если есть возможность угроз, предотвратить которые возможно только с помощью СКЗИ.
Рассмотрим случаи, когда угрозы могут быть устранены только благодаря системе криптографической защиты информации: 
- передача персональных данных по каналам связи, которые не защищены от перехвата нарушителями информации или от незаконных воздействий на эту информацию;
 - хранение ПДн на носителях такого типа, что несанкционированный доступ к информации не исключается с помощью некриптографических методов. 
Но при использовании СКЗИ не стоит забывать, что:
* криптографическая защита информации возможна лишь при условии, что защищена ключевая информация СКЗИ;
* для функционирования СКЗИ необходимо наличие специального программного и технического оборудования, которое создает среду для функционирования СКЗИ;
* криптографическая защита не защищает от проникновения внутренних нарушителей, имеющих законный доступ к информации;
* каждая система криптографической защиты должна пройти проверку на соответствие стандартам, обозначенными ФСБ России;
* СКЗИ – это не только средство для защиты информации, но и сама система есть объект защиты. [4]

ВЫВОД
Исходя их всего вышесказанного можно сделать вывод, что в современном мире, индустриальном обществе, информация – ценный ресурс, владея которым важно совершать великие деяния как во благо, так и со злыми намерениями. 
Используя любые технология, никогда нельзя быть уверенным в защищенности своих данных. Чем сложнее изобретенная система защиты ПДн, тем более сложные способы взломать эту защиту придумывают хакеры. Казалось бы, что СКЗИ невозможно обойти, но пройдет пару лет и даже этот, самый современный и умный способ защиты, не будет столь надежным.
Для безопасности хранения персональных данных компании не должны экономить на внедрении систем защиты. Как показывает практика, один способ не может гарантировать сохранность – необходимо внедрение комплекса систем. 
Проанализировав методические рекомендации ФСБ, я могу сделать вывод, что любые УБПДн очень четко проработаны: их составляющие и способы их нейтрализации. Что, в свою очередь, говорит об интенсивном развитии информационной сферы экономики, а также о масштабе возможные последствий взлома баз ПДн. Каждый человек имеет право на личную жизнь, тайну переписки и т.п. Иначе, индивид может потерять многие свою личностные черты. Жизнь каждого превратиться в представление для других. 
Закончить свою работу я хотел бы словами Брюса Стерлинга, американского писателя-фантаста: «Информация сама по себе — не сила, иначе самыми могущественными людьми на свете были бы библиотекари». Иными словами, важно не то, сколько информации имеет человек, а то, как он ее применяет. УБПДн чаще всего появляются из-за корыстных помыслов людей, поэтому необходимо делать всё возможное для защиты ПДн. 



Список используемых источников

1. Государственный стандарт гост р исо/мэк 15/408 «Критерии безопасности информационных технологий» // (Электронный ресурс) URL: http://uchebilka.ru/informatika/59748/index.html (дата обращения 06.02.17) 
2. «Анализ нормативно-методических документов в области защиты персональных данных», Приезжая Алина Николаевна» // (Электронный ресурс) URL: http://elibrary.ru/item.asp?id=15519926  (дата обращения 06.02.17) 
3. «МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности»// (Электронный ресурс) URL: http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf (дата обращения 10.02.17)
4. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» // (Электронный ресурс) URL: http://www.ispdn.info/laws/metodika-fstek-rossii-ot-14-fevralya-2008-g/  (дата обращения 10.02.17)
5. Исаев А.С., Хлюпина Е.А. «Правовые основы организации защиты персональных данных» – СПб: НИУ ИТМО, 2014. – 106 с

7


.......................