Персональные данные и классификация угроз
Сегодня невозможно представить деятельность какой-либо организации без хранения и обработки данных о человеке. Организация может хранить данные о своих сотрудниках, о клиентах или контрагентах. Защита персональных данных является на сегодняшний день одним из важных направлений в обеспечении информационной безопасности большинства организаций. Личные данные могут представлять большую ценность. Они могут служить и орудием преступления или использоваться в конкурентной борьбе между компаниями. Поэтому персональные данные нуждаются в профессиональной защите.
К персональным данным относится информация, которую человек может предоставить о себе сам или данные, которые позволяют однозначно идентифицировать человека. Это могут быть: фамилия, имя, отчетсво, дата рождения, место рождения, адрес, семейное положение, данные о владении имуществом, образовании, доходах и т.д.
Персональные данные разделяются на следующие категории:
- 1 группа. Информация о расовой и национальной принадлежности, о религиозных и политических убеждениях, о состоянии здоровья.
- 2 группа – биометрические данные. Данные характеризующие физические данные человека. Это могут быть фотографии, отпечатки пальцев.
- 3 группа – общедоступные данные. Это сведения о человеке, которые предоставлены самим человеком.
- 4 группа – иные категории данных, которые не попадают в первые три группы.
Уровень защищенности персональных данных – это комплексный показатель, который отражает выполнение требований по нейтрализации угроз безопасности информационных систем, хранящих персональные данных
Требования к защите персональных данных в информационных системах установлены постановлением правительства РФ от 1.11.2012 №119. Согласно постановлению существует три типа угроз:
- Угрозы 1-го типа. Связаны с наличием в системном программном обеспечении возможностей, которые не оговорены в документации к нему.
- Угрозы 2-го типа. Связаны с наличием в прикладном программном обеспечении возможностей, которые не оговорены в документации к нему.
- Угрозы 3-го типа. Не связаны с наличием недокументированных возможностей в прикладном ПО.
Оценку уровня угроз осуществляют эксперты в области информационной безопасности. Сначала необходимо определить для информационной системы уровень актуальных угроз. Далее в зависимости от выявленного уровня необходимо выполнить ряд мер по организации защиты. Меры по организации защиты персональных данных условно можно разделить на три уровня:
- Административный уровень – назначение должностных лиц, разграничение ответственности, утверждение документов.
- Прикладной уровень – меры, которые осуществляются программными методами внутри самой информационной системы.
- Системный уровень – меры, которые осуществляются программными и аппаратными методами на уровне сети и операционной системы.
Административные меры
- Обеспечить безопасность помещений.
- Обеспечить сохранность носителей с данными.
- Утвердить документально перечень лиц, которые могут иметь доступ к данным, хранящимся в информационной системе, с целью выполнения служебных обязанностей.
- Проверить сертифицированы ли используемые средства защиты информации.
- Назначить должностных лиц или отдельную структуру (отдел безопасности), ответственных за обеспечение безопасности персональных данных.
Меры прикладного уровня
В информационных системах должны применяться следующие способы защиты информации:
- Пароли при записи в базу данных шифруются. Чаще всего для этого используется метод md5. Например, вместо пароля «abs32» в базу запишется строка «d912d688926b43c9d0a2bd9dd9946bb5». Даже если злоумышленник получит доступ к базе данных пользователей с паролями, то восстановить пароль по шифру практически не возможно.
- Ограничение минимальной длины пароля и проверка надежности пароля с целью исключения подбора пароля. Единственным способом получить пароль по шифру md5 является получение баз данных стандартных паролей. Допустим, шифр пароля «12345» давно известен злоумышленникам. Поэтому с целью повышения надежности нужно создавать нестандартные пароли. Они должны быть не короче определенной длины, содержать буквы в разных регистрах и цифры.
- Информационная система должна быть снабжена средствами защиты от подбора пароля.
- Должна быть запрещена на техническом уровне работа нескольких пользователей в системе под одним и тем же логином.
- Права доступа пользователей должны настраиваться лично уполномоченным администратором системы.
- Пользователи не должны иметь прямого доступа в систему управления базами данных.
- Должна быть продумана политика управления сеансами пользователей. Например, при отсутствии активности в течении определенного времени сеанс автоматически завершается.
- Диапазона IP-адресов, с которых разрешен вход в систему, должен быть ограничен.
- Объекты системы должны храниться исключительно на серверах. Хранение на персональном компьютере пользователя должно быть исключено.
Системные меры
На системном уровне для защиты информации следует пользоваться сертифицированными межсетевыми экранами и антивирусным ПО. Межсетевой экран (файрвол, брандмауэр) это аппаратный и программный комплекс, который осуществляет контроль и фильтрацию проходящих через него сетевых пакетов. Контроль и фильтрация проводятся в соответствии с настраиваемыми правилами.
Основная функция межсетевого экрана – защита узлов сети от несанкционированного доступа. Типичными функциями межсетевого экрана являются:
- Фильтрация доступа к различным службам.
- Препятствование получению информации из подсети.
- Препятствование внедрению в защищенную подсеть несанкционированных данных.
- Контроль доступа к узлам сети.
- Регистрация всех попыток доступа извне и изнутри.
- Регламентирование порядка доступа к сети.
- Уведомление о подозрительной деятельности, попытках атак на узлы сети или сам межсетевой экран.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработала и утвердила реестр сертифицированных межсетевых экранов, которым следует руководствоваться при выборе средств информационной защиты.
Другим важным средством предотвращения утечки личных данных является защита от вирусов. Именно вирусные программы часто занимаются воровством информации и организацией скрытых каналов утечки. Современные антивирусные программы включают в себя следующие функции:
- Сигнатурная защита – быстрое реагирование на вторжение.
- Поведенческий анализ программ.
- Экраны на уровне приложений.
- Контроль целостности важных для операционной системы данных.