А.А. Согов,
студент 1 курса, Института юстиции
Саратовской государственной юридической академии
Уязвимости в информационных системах персональных данных
В любой информационной системе современной компании всегда присутствуют персональные данные, и эти данные должны быть защищены. Персональные данные подразделяют на четыре категории – от обезличенных до наиболее ценных для гражданина. И в соответствии с этим выделяются четыре уровня защиты данных. Любая информационная система персональных данных (ИСПД) может иметь какие-то недостатки, приводящие к утечке, уничтожению, модификации, блокированию информации и т.п. В связи с этим необходимо актуализировать возможности уязвимостей информационных систем персональных данных.
Уязвимость (слабость) –
любая характеристика или свойство информационной системы, использование
которой нарушителем может привести к реализации угрозы
Базовыми элементами защиты от уязвимости информационных систем персональных данных являются: антивирусные программы, межсетевые экраны, системы предотвращения вторжений, сканеры уязвимостей. Современные антивирусные программы включают в себя не только сигнатурную защиту, но и более современные средства: от поведенческого анализа программ и контроля целостности до анализа атак по сетевым протоколам и другие методы защиты рабочих мест и серверов. Системы предотвращения вторжений (Intrusion Prevention System, IPS) на сегодня имеют более широкий диапазон защиты, чем шлюзовые антивирусы. Сканеры уязвимостей обычно представляют собой отдельные программы или устройства, тестирующие систему на возможные атаки на протокол или приложения. Защита от утечек представлена набором продуктов: это системы контроля над периферийными устройствами системой USB портов, системы защиты от утечек (Data Leak Prevention, DLP), контролирующие передачу данных по различным каналам, и криптографические средства. Большинство средств защиты имеют комплекс средств шифрования, усиливающих защиту. Однако даже такой большой набор средств защиты не исключает наличие уязвимостей в информационных системах защиты персональных данных[1].
Уязвимость информационной системы персональных данных – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным. В самом общем случае причинами возникновения уязвимостей являются: ошибки при проектировании и преднамеренные действия по внесению уязвимостей в ходе разработки программного обеспечения; неправильные настройки и неправомерное изменение режимов работы устройств и программ; несанкционированное внедрение и использование программ; действия пользователей, сбои в работе аппаратного и программного обеспечения и др.
Уязвимости ИСПД различают по типу ПО (системное и прикладное), по этапу жизненного цикла ПО, на котором возникает уязвимость, по причине возникновения (недостатки механизмов аутентификации, защиты учетных записей, наличие функций, позволяющих выполнять деструктивные действия, отсутствие проверки корректности данных), а также по характеру последствий от действия атак (уязвимости переполнения буфера обмена, подбора паролей и идентификаторов, изменения прав доступа и др.).
Отдельно перечислим уязвимости системного ПО, это недочеты в микропрограммах, в средствах управления локальными ресурсами (процессором, памятью, устройствами ввода/вывода). Не лишены уязвимостей и обслуживающие программы (драйверы и утилиты), а также сетевые средства.
Уязвимости в микропрограммах позволяют реализовывать несанкционированный доступ без обнаружения операционной системой; фрагменты программ («дыры), внедренные на этапе разработки, позволяют обходить процедуры идентификации, аутентификации, проверки целостности и др. Ошибки в программах могут приводить к сбоям, в том числе к сбоям функционирования самих средств и систем защиты.
Уязвимости сетевых средств в основном это уязвимости протоколов наиболее часто используемого стека протоколов TCP/IP. Каждый из протоколов имеет свои уязвимости. Перечислим их в общем порядке, это возможность перехвата данных учетной записи, получение удаленного доступа к хостам, существенное снижение производительности сервера в результате обмена пакетами, возможность перехвата трафика пользователя злоумышленником и перенаправления трафика через хост злоумышленника, существенное снижение скорости обмена, фальсификация ответа DNS-сервера и другие.
Знание возможных уязвимостей на уровне системного ПО, прикладного ПО и сетевых средств позволяет увеличить степень защиты персональных данных. В данном направлении работает ряд фирм (MITRE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, институт SANS), которые создали и постоянно пополняют базу возможных уязвимостей информационных систем персональных данныхд[2].
В РФ руководством по защите информационных систем персональных данных, определению требуемого уровня защиты в зависимости от категории данных служит Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
Заключение
благодаря нормативно-правовым актам и научно-исследовательским работам становиться ясно, что персональные данные являются конфиденциальной информацией и что за нарушение работы с ними наступает юридическая ответственность.
Что касается защиты персональных данных, то нужно заметить, что безопасность персональных сведений находится на высоком уровне. Этому способствуют как правовая база, так и многочисленные средства технического контроля. Законодательствами стран Европы и Российской Федерации предусмотрены практически все необходимые нормы для защиты этой категории правоотношений. Основным Законом, регулирующим работу с персональными данными, является Федеральный закон «О персональных данных». В нем описаны основные принципы и условия обработки и защиты таких сведений
Закон устанавливает, что лица, виновные в нарушении требований настоящего закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерацией, ответственность.
Обилие нормативно-правовых актов, регулирующих отношения в сфере персональных данных, обеспечивает надежную защиту безопасности информации ограниченного доступа, но следует заметить, что необходимо дальнейшее совершенствование механизмов защиты персональных данных, находящихся в распоряжении федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и др.
[1] А.А. Марков, А.А. Фадин. Систематика уязвимостей и дефектов безопасности программных ресурсов. //Защита информации. №3. 2013. С.2-7.
[2] Общая характеристика уязвимостей информационной системы. –
https://life-prog.ru/1_1126_obshchaya-harakteristika%20uyazvimostey-informatsionnoy-sistemi.html
Заключение