Способы нарушения характеристик безопасности персональных данных
Исходя из перечня персональных данных, обрабатываемых в ИСПДн, существуют следующие способы нарушения характеристик безопасности ПДн:
· хищение персональных данных сотрудниками предприятия для использования в корыстных целях;
· передача финансовой, адресной, юридической и прочей информации о субъекте ПДн третьим лицам;
· несанкционированное публичное разглашение персональных данных, ставших известными сотрудникам предприятия;
· несанкционированное получение персональных данных третьими лицами;
· уничтожение финансовой, адресной, юридической и прочей информации о субъекте ПДн;
· модификация финансовой, адресной, юридической и прочей информации о субъекте ПДн;
· блокирование финансовой, адресной, юридической и прочей информации о субъекте ПДн;
· ввод некорректной финансовой, адресной, юридической и прочей информации о субъекте ПДн;
· передача некорректной финансовой, адресной, юридической и прочей информации о субъекте ПДн;
· искажение архивной информации по субъекту ПДн.
· уничтожение архивной информации по субъекту ПДн.
Угрозы безопасности персональных данных, при их обработке в информационных системах персональных данных
Под угрозами безопасности персональных данных при их обработке в ИСПДн понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее. Таким образом, угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн, так и со специально осуществляемыми неправомерными действиями отдельных организаций и граждан, а также иными источниками угроз. Неправомерные действия могут исходить также и от сотрудников предприятия в случае, когда они рассматриваются в качестве потенциального нарушителя безопасности ПДн.
В целях формирования систематизированного перечня угроз безопасности ПДн при их обработке в ИСПДн и разработке на их основе частных (детализированных) моделей применительно к конкретному виду ИСПДн, угрозы безопасности персональным данным в ИСПДн можно классифицировать в соответствии со следующими признаками:
§ по видам возможных источников угроз;
§ по типу ИСПДн, на которые направлена реализация угроз;
§ по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн);
§ по способам реализации угроз;
§ по используемой уязвимости;
§ по объекту воздействия.
Для ИСПДн существуют следующие классы угроз безопасности ПДн:
По видам возможных источников угроз безопасности персональных данных
– угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющими доступ к ИР ИСПДн, включая пользователей, реализующие угрозы непосредственно в ИСПДн;
– угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
– угрозы, возникновение которых напрямую зависит от свойств техники, используемой в ИСПДн;
– угрозы, связанные со стихийными природными явлениями.
Кроме этого, угрозы могут возникать в результате внедрения аппаратных закладок и вредоносных программ.
По типу ИСПДн, на которые направлена угроза:
По структуре ИСПДн, на которые направлена угроза, необходимо рассматривать следующие классы угроз:
- угрозы безопасности данных, обрабатываемых в ИСПДН на базе автоматизированных рабочих мест;
- угрозы безопасности данных, обрабатываемых в ИСПДН на базе локальных информационных систем.