Основная информация
| Дата опубликования: | 03 апреля 2017г. |
| Номер документа: | RU44000201700289 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Костромская область |
| Принявший орган: | Администрация Костромской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
АДМИНИСТРАЦИЯ КОСТРОМСКОЙ ОБЛАСТИ
П О С Т А Н О В Л Е Н И Е
от «3» апреля 2017 года № 137-а
г. Кострома
ОБ ОПРЕДЕЛЕНИИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ АДМИНИСТРАЦИИ КОСТРОМСКОЙ ОБЛАСТИ
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных исполнительных органов государственной власти Костромской области, взаимодействующих с информационными системами персональных данных администрации Костромской области,
администрация Костромской области ПОСТАНОВЛЯЕТ:
1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных администрации Костромской области, согласно приложению к настоящему постановлению.
2. Исполнительным органам государственной власти Костромской области:
1) определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в используемых ими информационных системах персональных данных;
2) руководствоваться настоящим постановлением при определении угроз безопасности персональных данных, актуальных при обработке персональных данных в используемых ими информационных системах персональных данных, взаимодействующих с информационными системами персональных данных администрации Костромской области.
3. Управлению информатизации и связи администрации Костромской области разместить настоящее постановление
на официальном сайте администрации Костромской области
в информационно-телекоммуникационной сети «Интернет» в течение 10 дней со дня его принятия.
4. Настоящее постановление вступает в силу со дня его официального опубликования.
Губернатор области
С. Ситников
Приложение
к постановлению администрации
Костромской области
от «3» апреля 2017 г. № 137-а
УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
актуальные при обработке персональных данных в информационных системах персональных данных администрации Костромской области
Глава 1 Общие положения
1. Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных администрации Костромской области (далее – Актуальные угрозы безопасности ИСПДн АКО), разработаны в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
2. Актуальные угрозы безопасности ИСПДн АКО содержат перечень актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) администрации Костромской области.
3. При разработке Актуальных угроз безопасности ИСПДн АКО использованы нормативные правовые акты:
1) Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2) Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
3) Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
4) Указ Президента Российской Федерации от 22 мая 2015 года № 260 «О некоторых вопросах информационной безопасности Российской Федерации»;
5) постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
6) приказ Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК России);
7) приказ Федеральной службы безопасности Российской Федерации (далее – ФСБ России) от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – Приказ ФСБ России);
8) приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
9) Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432 (далее – Методические рекомендации ФСБ России по разработке НПА);
10) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России от 14 февраля 2008 года;
11) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России от 15 февраля 2008 года (далее – Базовая модель угроз).
4. Угрозы безопасности персональных данных, обрабатываемые в ИСПДн администрации Костромской области, приведенные в Актуальных угрозах безопасности ИСПДн АКО, подлежат адаптации в ходе разработки частных моделей угроз безопасности персональных данных.
5. Частная модель угроз безопасности персональных данных разрабатывается в соответствии с Базовой моделью угроз и с учетом требований Приказа ФСТЭК России и Приказа ФСБ России.
6. При разработке частных моделей угроз безопасности персональных данных проводится анализ структурно-функциональных характеристик конкретной ИСПДн и применяемых в ней информационных технологий, а также особенностей ее функционирования, в том числе с использованием банка данных угроз безопасности информации (www.bdu.fstec.ru).
7. В частной модели угроз безопасности персональных данных указываются:
1) описание ИСПДн и ее структурно-функциональных характеристик;
2) описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя);
3) описание возможных уязвимостей ИСПДн, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
8. Персональные данные субъектов персональных данных обрабатываются с целью обеспечения деятельности администрации Костромской области и исполнительных органов государственной власти Костромской области (далее – ИОГВ).
9. Актуальные угрозы безопасности персональных данных, обрабатываемые в ИСПДн, содержащиеся в Актуальных угрозах безопасности ИСПДн АКО, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в ИСПДн администрации Костромской области. Указанные изменения согласовываются с ФСТЭК России и ФСБ России в установленном порядке.
10. ИСПДн администрации Костромской области характеризуются тем, что в качестве объектов информатизации выступают распределенные ИСПДн, имеющие подключение к информационно-телекоммуникационным сетям общего пользования (далее – сети общего пользования) и (или) информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет»).
11. ИСПДн ИОГВ характеризуются тем, что в качестве объектов информатизации выступают автоматизированные рабочие места, имеющие подключение к ИСПДн администрации Костромской области, а также подключение к сетям общего пользования и (или) сети «Интернет».
12. ИСПДн администрации Костромской области и ИСПДн ИОГВ имеют различную структуру, являются разноплановыми системами.
13. Ввод персональных данных в ИСПДн администрации Костромской области и ИСПДн ИОГВ, а также вывод данных из ИСПДн администрации Костромской области и ИСПДн ИОГВ осуществляется с использованием бумажных и электронных носителей информации. В качестве электронных носителей информации используются учтенные носители информации, в том числе и компакт-диски.
14. Информационный обмен персональными данными по сетям общего пользования и (или) сети «Интернет» осуществляется с использованием сертифицированных шифровальных (криптографических) средств защиты информации (далее – СКЗИ).
15. Технические средства ИСПДн администрации Костромской области и ИСПДн ИОГВ размещаются на территории Российской Федерации.
16. Базы данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации находятся на территории Российской Федерации.
17. Контролируемой зоной ИСПДн администрации Костромской области и ИСПДн ИОГВ являются административные здания и отдельные помещения. В пределах контролируемой зоны находятся рабочие места пользователей, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн администрации Костромской области и ИСПДн ИОГВ. Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям общего пользования и (или) сети «Интернет».
18. В административных зданиях осуществляется пропускной режим, неконтролируемое пребывание посторонних лиц и неконтролируемое перемещение (вынос за пределы здания) компьютеров и оргтехники запрещено. Помещения оборудованы запирающимися дверями.
19. Защита персональных данных в ИСПДн администрации Костромской области и ИСПДн ИОГВ и сетях общего пользования, подключаемых к сети «Интернет», обеспечивается средствами защиты информации (далее – СЗИ):
1) средствами антивирусной защиты, сертифицированными ФСТЭК России, не ниже 4 класса;
2) межсетевыми экранами, сертифицированными ФСТЭК России, не ниже 3 класса;
3) СКЗИ, формирующими виртуальные частные сети (VPN), сертифицированными ФСБ России по классу КС1 и выше;
4) средством государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Глава 2. Угрозы безопасности информационных систем персональных данных
20. Учитывая особенности обработки персональных данных в администрации Костромской области, а также категорию и объем обрабатываемых в ИСПДн администрации Костромской области персональных данных, основными характеристиками безопасности являются конфиденциальность, целостность и доступность.
Конфиденциальность – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Целостность – состояние защищенности информации, характеризуемое способностью ИСПДн администрации Костромской области обеспечивать сохранность и неизменность персональных данных при попытках несанкционированных воздействий на них в процессе обработки или хранения.
Доступность – состояние персональных данных, при котором субъекты, имеющие право доступа, могут реализовать его беспрепятственно.
21. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИСПДн администрации Костромской области, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
22. Для ИСПДн администрации Костромской области актуальны угрозы безопасности персональных данных третьего типа, не связанные с наличием недокументированных (недекларированных) возможностей (далее – НДВ) в системном и прикладном программном обеспечении (далее – ПО), используемом в ИСПДн администрации Костромской области.
23. ИСПДн администрации Костромской области обрабатывают персональные данные сотрудников администрации Костромской области и (или) иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками администрации Костромской области.
24. Исходя из состава обрабатываемых персональных данных и типа актуальных угроз определяется, что для обеспечения безопасности персональных данных в ИСПДн администрации Костромской области необходимо обеспечение четвертого уровня защищенности персональных данных (УЗ 4).
25. Основной целью применения СКЗИ в ИСПДн администрации Костромской области является защита персональных данных, в том числе при информационном обмене по сетям общего пользования и (или) сети «Интернет».
26. Объектами защиты являются:
1) персональные данные;
2) СКЗИ;
3) среда функционирования СКЗИ (далее – СФ);
4) информация, относящаяся к криптографической защите персональных данных, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;
5) документы, дела, журналы, картотеки, издания, технические документы, рабочие материалы, в которых отражена защищаемая информация, относящаяся к ИСПДн администрации Костромской области и их криптографической защите, включая документацию на СКЗИ и технические и программные компоненты СФ;
6) носители защищаемой информации, используемые в ИСПДн администрации Костромской области в процессе криптографической защиты персональных данных, носители ключевой, парольной и аутентифицирующей информации СКЗИ и порядок доступа к ним;
7) используемые ИСПДн администрации Костромской области каналы (линии) связи, включая кабельные системы;
8) помещения, в которых находятся ресурсы ИСПДн администрации Костромской области, имеющие отношение к криптографической защите персональных данных.
27. Основными видами угроз безопасности для персональных данных в ИСПДн администрации Костромской области являются:
1) угрозы утечки информации по техническим каналам:
угрозы утечки акустической (речевой) информации;
угрозы утечки видовой информации;
угрозы утечки информации по каналам побочного электромагнитного излучения и наводки;
2) угрозы несанкционированного доступа (далее – НСД)
к информации:
угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн:
кража персональной электронно-вычислительной машины (далее – ПЭВМ);
кража носителей информации;
кража ключей доступа;
кража, модификация, уничтожение информации;
вывод из строя узлов ПЭВМ, каналов связи;
несанкционированное отключение СЗИ;
угрозы хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий):
действия вредоносных программ (вирусов);
установка ПО, не связанного с исполнением служебных обязанностей;
угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и системы защиты персональных данных в ее составе из-за сбоев в ПО, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного характера (ударов молний, пожаров, наводнений):
утрата ключей и атрибутов доступа;
непреднамеренная модификация (уничтожение) информации сотрудниками;
непреднамеренное отключение СЗИ;
выход из строя аппаратно-программных средств;
сбой системы электроснабжения;
стихийное бедствие;
угрозы преднамеренных действий внутренних нарушителей:
доступ к информации, модификация, уничтожение лицами, не допущенных к ее обработке;
разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке;
угрозы НСД по каналам связи:
угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
перехват за переделами с контролируемой зоны;
перехват в пределах контролируемой зоны внешними нарушителями;
перехват в пределах контролируемой зоны внутренними нарушителями;
угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
угрозы выявления паролей по сети;
угрозы навязывание ложного маршрута сети;
угрозы подмены доверенного объекта в сети;
угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;
угрозы типа «Отказ в обслуживании»;
угрозы удаленного запуска приложений;
угрозы внедрения по сети вредоносных программ.
28. Основные целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных в ИСПДн администрации Костромской области или создания условий для этого (далее – атака), при создании способов, подготовке и проведении которых используются возможности из числа следующих:
1) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;
2) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ;
3) проведение атаки, находясь вне контролируемой зоны;
4) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:
внесение несанкционированных изменений в СКЗИ и (или) в СФ, которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ (вирусов);
внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ;
5) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
ключевую, аутентифицирующую и парольную информацию СКЗИ;
программные компоненты СКЗИ;
аппаратные компоненты СКЗИ;
программные компоненты СФ, включая ПО BIOS;
аппаратные компоненты СФ;
данные, передаваемые по каналам связи;
иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее – АС) и ПО;
6) получение из находящихся в свободном доступе источников (включая сети общего пользования и (или) сеть «Интернет») информации об ИСПДн, в которой используется СКЗИ. При этом может быть получена следующая информация:
общие сведения об ИСПДн, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн);
сведения об информационных технологиях, базах данных, АС, ПО, используемых в ИСПДн совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в ИСПДн совместно с СКЗИ;
содержание конструкторской документации на СКЗИ;
содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее – канал связи);
все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационными и техническими мерами;
сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;
7) применение:
находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
специально разработанных АС и ПО;
8) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:
каналов связи, не защищенных от НСД к информации организационными и техническими мерами;
каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;
9) проведение на этапе эксплуатации атаки из сетей общего пользования и (или) сети «Интернет», если ИСПДн, в которых используются СКЗИ, имеют выход в эти сети;
10) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств ИСПДн, применяемых на местах эксплуатации СКЗИ (далее – штатные средства);
11) проведение атаки при нахождении в пределах контролируемой зоны;
12) проведение атак на этапе эксплуатации СКЗИ на следующие объекты:
документацию на СКЗИ и компоненты СФ;
помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее – СВТ), на которых реализованы СКЗИ и СФ;
13) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:
сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн;
сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн;
сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;
14) использование штатных средств, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;
15) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;
16) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение НСД;
17) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак НДВ прикладного ПО;
18) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение НСД;
19) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ;
20) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак НДВ системного ПО;
21) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ;
22) возможность располагать всеми аппаратными компонентами СКЗИ и СФ.
29. Угрозы, перечисленные в пункте 28 Актуальных угроз безопасности ИСПДн АКО, которые могут быть нейтрализованы только с помощью СКЗИ, учитываются при разработке частных моделей угроз безопасности персональных данных в соответствии с разделом 3 Методических рекомендаций ФСБ России по разработке НПА.
3. Актуальные угрозы безопасности ИСПДн АКО
30. Актуальными угрозами безопасности ИСПДн АКО являются угрозы НСД к персональным данным:
1) действия вредоносных программ (вирусов);
2) утрата ключей и атрибутов доступа;
3) перехват передаваемой из ИСПДн и принимаемой из внешних сетей информации за переделами контролируемой зоны;
4) НСД через сеть «Интернет»;
5) НСД через локальную вычислительную сеть организации;
6) утечка атрибутов доступа;
7) угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
8) угрозы выявления паролей по сети;
9) угрозы подмены доверенного объекта в сети;
10) угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;
11) угрозы типа «Отказ в обслуживании»;
12) угрозы удаленного запуска приложений;
13) угрозы внедрения по сети вредоносных программ.
31. Актуальными угрозами безопасности ИСПДн АКО со СКЗИ являются атаки, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
1) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;
2) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ;
3) проведение атаки, находясь вне контролируемой зоны;
4) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) атаки по внесению несанкционированных изменений в СКЗИ и (или) в СФ, которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ (вирусов);
5) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
ключевую, аутентифицирующую и парольную информацию СКЗИ;
программные компоненты СКЗИ;
аппаратные компоненты СКЗИ;
программные компоненты СФ, включая ПО BIOS;
аппаратные компоненты СФ;
данные, передаваемые по каналам связи;
6) получение из находящихся в свободном доступе источников (включая сети общего пользования и (или) сеть «Интернет») информации об ИСПДн, в которой используется СКЗИ. При этом может быть получена следующая информация:
общие сведения об ИСПДн, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн);
сведения об информационных технологиях, базах данных, АС, ПО, используемых в ИСПДн совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в ИСПДн совместно с СКЗИ;
содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
сведения о каналах связи;
7) применение находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
8) применение специально разработанных АС и ПО;
9) проведение на этапе эксплуатации атаки из сетей общего пользования и (или) сети «Интернет», если ИСПДн, в которых используются СКЗИ, имеют выход в эти сети;
10) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава штатных средств.
АДМИНИСТРАЦИЯ КОСТРОМСКОЙ ОБЛАСТИ
П О С Т А Н О В Л Е Н И Е
от «3» апреля 2017 года № 137-а
г. Кострома
ОБ ОПРЕДЕЛЕНИИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ АДМИНИСТРАЦИИ КОСТРОМСКОЙ ОБЛАСТИ
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных исполнительных органов государственной власти Костромской области, взаимодействующих с информационными системами персональных данных администрации Костромской области,
администрация Костромской области ПОСТАНОВЛЯЕТ:
1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных администрации Костромской области, согласно приложению к настоящему постановлению.
2. Исполнительным органам государственной власти Костромской области:
1) определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в используемых ими информационных системах персональных данных;
2) руководствоваться настоящим постановлением при определении угроз безопасности персональных данных, актуальных при обработке персональных данных в используемых ими информационных системах персональных данных, взаимодействующих с информационными системами персональных данных администрации Костромской области.
3. Управлению информатизации и связи администрации Костромской области разместить настоящее постановление
на официальном сайте администрации Костромской области
в информационно-телекоммуникационной сети «Интернет» в течение 10 дней со дня его принятия.
4. Настоящее постановление вступает в силу со дня его официального опубликования.
Губернатор области
С. Ситников
Приложение
к постановлению администрации
Костромской области
от «3» апреля 2017 г. № 137-а
УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
актуальные при обработке персональных данных в информационных системах персональных данных администрации Костромской области
Глава 1 Общие положения
1. Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных администрации Костромской области (далее – Актуальные угрозы безопасности ИСПДн АКО), разработаны в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
2. Актуальные угрозы безопасности ИСПДн АКО содержат перечень актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) администрации Костромской области.
3. При разработке Актуальных угроз безопасности ИСПДн АКО использованы нормативные правовые акты:
1) Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2) Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
3) Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
4) Указ Президента Российской Федерации от 22 мая 2015 года № 260 «О некоторых вопросах информационной безопасности Российской Федерации»;
5) постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
6) приказ Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК России);
7) приказ Федеральной службы безопасности Российской Федерации (далее – ФСБ России) от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – Приказ ФСБ России);
8) приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
9) Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432 (далее – Методические рекомендации ФСБ России по разработке НПА);
10) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России от 14 февраля 2008 года;
11) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России от 15 февраля 2008 года (далее – Базовая модель угроз).
4. Угрозы безопасности персональных данных, обрабатываемые в ИСПДн администрации Костромской области, приведенные в Актуальных угрозах безопасности ИСПДн АКО, подлежат адаптации в ходе разработки частных моделей угроз безопасности персональных данных.
5. Частная модель угроз безопасности персональных данных разрабатывается в соответствии с Базовой моделью угроз и с учетом требований Приказа ФСТЭК России и Приказа ФСБ России.
6. При разработке частных моделей угроз безопасности персональных данных проводится анализ структурно-функциональных характеристик конкретной ИСПДн и применяемых в ней информационных технологий, а также особенностей ее функционирования, в том числе с использованием банка данных угроз безопасности информации (www.bdu.fstec.ru).
7. В частной модели угроз безопасности персональных данных указываются:
1) описание ИСПДн и ее структурно-функциональных характеристик;
2) описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя);
3) описание возможных уязвимостей ИСПДн, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
8. Персональные данные субъектов персональных данных обрабатываются с целью обеспечения деятельности администрации Костромской области и исполнительных органов государственной власти Костромской области (далее – ИОГВ).
9. Актуальные угрозы безопасности персональных данных, обрабатываемые в ИСПДн, содержащиеся в Актуальных угрозах безопасности ИСПДн АКО, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в ИСПДн администрации Костромской области. Указанные изменения согласовываются с ФСТЭК России и ФСБ России в установленном порядке.
10. ИСПДн администрации Костромской области характеризуются тем, что в качестве объектов информатизации выступают распределенные ИСПДн, имеющие подключение к информационно-телекоммуникационным сетям общего пользования (далее – сети общего пользования) и (или) информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет»).
11. ИСПДн ИОГВ характеризуются тем, что в качестве объектов информатизации выступают автоматизированные рабочие места, имеющие подключение к ИСПДн администрации Костромской области, а также подключение к сетям общего пользования и (или) сети «Интернет».
12. ИСПДн администрации Костромской области и ИСПДн ИОГВ имеют различную структуру, являются разноплановыми системами.
13. Ввод персональных данных в ИСПДн администрации Костромской области и ИСПДн ИОГВ, а также вывод данных из ИСПДн администрации Костромской области и ИСПДн ИОГВ осуществляется с использованием бумажных и электронных носителей информации. В качестве электронных носителей информации используются учтенные носители информации, в том числе и компакт-диски.
14. Информационный обмен персональными данными по сетям общего пользования и (или) сети «Интернет» осуществляется с использованием сертифицированных шифровальных (криптографических) средств защиты информации (далее – СКЗИ).
15. Технические средства ИСПДн администрации Костромской области и ИСПДн ИОГВ размещаются на территории Российской Федерации.
16. Базы данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации находятся на территории Российской Федерации.
17. Контролируемой зоной ИСПДн администрации Костромской области и ИСПДн ИОГВ являются административные здания и отдельные помещения. В пределах контролируемой зоны находятся рабочие места пользователей, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн администрации Костромской области и ИСПДн ИОГВ. Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям общего пользования и (или) сети «Интернет».
18. В административных зданиях осуществляется пропускной режим, неконтролируемое пребывание посторонних лиц и неконтролируемое перемещение (вынос за пределы здания) компьютеров и оргтехники запрещено. Помещения оборудованы запирающимися дверями.
19. Защита персональных данных в ИСПДн администрации Костромской области и ИСПДн ИОГВ и сетях общего пользования, подключаемых к сети «Интернет», обеспечивается средствами защиты информации (далее – СЗИ):
1) средствами антивирусной защиты, сертифицированными ФСТЭК России, не ниже 4 класса;
2) межсетевыми экранами, сертифицированными ФСТЭК России, не ниже 3 класса;
3) СКЗИ, формирующими виртуальные частные сети (VPN), сертифицированными ФСБ России по классу КС1 и выше;
4) средством государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Глава 2. Угрозы безопасности информационных систем персональных данных
20. Учитывая особенности обработки персональных данных в администрации Костромской области, а также категорию и объем обрабатываемых в ИСПДн администрации Костромской области персональных данных, основными характеристиками безопасности являются конфиденциальность, целостность и доступность.
Конфиденциальность – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Целостность – состояние защищенности информации, характеризуемое способностью ИСПДн администрации Костромской области обеспечивать сохранность и неизменность персональных данных при попытках несанкционированных воздействий на них в процессе обработки или хранения.
Доступность – состояние персональных данных, при котором субъекты, имеющие право доступа, могут реализовать его беспрепятственно.
21. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИСПДн администрации Костромской области, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
22. Для ИСПДн администрации Костромской области актуальны угрозы безопасности персональных данных третьего типа, не связанные с наличием недокументированных (недекларированных) возможностей (далее – НДВ) в системном и прикладном программном обеспечении (далее – ПО), используемом в ИСПДн администрации Костромской области.
23. ИСПДн администрации Костромской области обрабатывают персональные данные сотрудников администрации Костромской области и (или) иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками администрации Костромской области.
24. Исходя из состава обрабатываемых персональных данных и типа актуальных угроз определяется, что для обеспечения безопасности персональных данных в ИСПДн администрации Костромской области необходимо обеспечение четвертого уровня защищенности персональных данных (УЗ 4).
25. Основной целью применения СКЗИ в ИСПДн администрации Костромской области является защита персональных данных, в том числе при информационном обмене по сетям общего пользования и (или) сети «Интернет».
26. Объектами защиты являются:
1) персональные данные;
2) СКЗИ;
3) среда функционирования СКЗИ (далее – СФ);
4) информация, относящаяся к криптографической защите персональных данных, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;
5) документы, дела, журналы, картотеки, издания, технические документы, рабочие материалы, в которых отражена защищаемая информация, относящаяся к ИСПДн администрации Костромской области и их криптографической защите, включая документацию на СКЗИ и технические и программные компоненты СФ;
6) носители защищаемой информации, используемые в ИСПДн администрации Костромской области в процессе криптографической защиты персональных данных, носители ключевой, парольной и аутентифицирующей информации СКЗИ и порядок доступа к ним;
7) используемые ИСПДн администрации Костромской области каналы (линии) связи, включая кабельные системы;
8) помещения, в которых находятся ресурсы ИСПДн администрации Костромской области, имеющие отношение к криптографической защите персональных данных.
27. Основными видами угроз безопасности для персональных данных в ИСПДн администрации Костромской области являются:
1) угрозы утечки информации по техническим каналам:
угрозы утечки акустической (речевой) информации;
угрозы утечки видовой информации;
угрозы утечки информации по каналам побочного электромагнитного излучения и наводки;
2) угрозы несанкционированного доступа (далее – НСД)
к информации:
угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн:
кража персональной электронно-вычислительной машины (далее – ПЭВМ);
кража носителей информации;
кража ключей доступа;
кража, модификация, уничтожение информации;
вывод из строя узлов ПЭВМ, каналов связи;
несанкционированное отключение СЗИ;
угрозы хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий):
действия вредоносных программ (вирусов);
установка ПО, не связанного с исполнением служебных обязанностей;
угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и системы защиты персональных данных в ее составе из-за сбоев в ПО, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного характера (ударов молний, пожаров, наводнений):
утрата ключей и атрибутов доступа;
непреднамеренная модификация (уничтожение) информации сотрудниками;
непреднамеренное отключение СЗИ;
выход из строя аппаратно-программных средств;
сбой системы электроснабжения;
стихийное бедствие;
угрозы преднамеренных действий внутренних нарушителей:
доступ к информации, модификация, уничтожение лицами, не допущенных к ее обработке;
разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке;
угрозы НСД по каналам связи:
угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
перехват за переделами с контролируемой зоны;
перехват в пределах контролируемой зоны внешними нарушителями;
перехват в пределах контролируемой зоны внутренними нарушителями;
угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
угрозы выявления паролей по сети;
угрозы навязывание ложного маршрута сети;
угрозы подмены доверенного объекта в сети;
угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;
угрозы типа «Отказ в обслуживании»;
угрозы удаленного запуска приложений;
угрозы внедрения по сети вредоносных программ.
28. Основные целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных в ИСПДн администрации Костромской области или создания условий для этого (далее – атака), при создании способов, подготовке и проведении которых используются возможности из числа следующих:
1) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;
2) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ;
3) проведение атаки, находясь вне контролируемой зоны;
4) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:
внесение несанкционированных изменений в СКЗИ и (или) в СФ, которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ (вирусов);
внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ;
5) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
ключевую, аутентифицирующую и парольную информацию СКЗИ;
программные компоненты СКЗИ;
аппаратные компоненты СКЗИ;
программные компоненты СФ, включая ПО BIOS;
аппаратные компоненты СФ;
данные, передаваемые по каналам связи;
иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее – АС) и ПО;
6) получение из находящихся в свободном доступе источников (включая сети общего пользования и (или) сеть «Интернет») информации об ИСПДн, в которой используется СКЗИ. При этом может быть получена следующая информация:
общие сведения об ИСПДн, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн);
сведения об информационных технологиях, базах данных, АС, ПО, используемых в ИСПДн совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в ИСПДн совместно с СКЗИ;
содержание конструкторской документации на СКЗИ;
содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее – канал связи);
все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационными и техническими мерами;
сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;
7) применение:
находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
специально разработанных АС и ПО;
8) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:
каналов связи, не защищенных от НСД к информации организационными и техническими мерами;
каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;
9) проведение на этапе эксплуатации атаки из сетей общего пользования и (или) сети «Интернет», если ИСПДн, в которых используются СКЗИ, имеют выход в эти сети;
10) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств ИСПДн, применяемых на местах эксплуатации СКЗИ (далее – штатные средства);
11) проведение атаки при нахождении в пределах контролируемой зоны;
12) проведение атак на этапе эксплуатации СКЗИ на следующие объекты:
документацию на СКЗИ и компоненты СФ;
помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее – СВТ), на которых реализованы СКЗИ и СФ;
13) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:
сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн;
сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн;
сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;
14) использование штатных средств, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;
15) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;
16) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение НСД;
17) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак НДВ прикладного ПО;
18) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение НСД;
19) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ;
20) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак НДВ системного ПО;
21) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ;
22) возможность располагать всеми аппаратными компонентами СКЗИ и СФ.
29. Угрозы, перечисленные в пункте 28 Актуальных угроз безопасности ИСПДн АКО, которые могут быть нейтрализованы только с помощью СКЗИ, учитываются при разработке частных моделей угроз безопасности персональных данных в соответствии с разделом 3 Методических рекомендаций ФСБ России по разработке НПА.
3. Актуальные угрозы безопасности ИСПДн АКО
30. Актуальными угрозами безопасности ИСПДн АКО являются угрозы НСД к персональным данным:
1) действия вредоносных программ (вирусов);
2) утрата ключей и атрибутов доступа;
3) перехват передаваемой из ИСПДн и принимаемой из внешних сетей информации за переделами контролируемой зоны;
4) НСД через сеть «Интернет»;
5) НСД через локальную вычислительную сеть организации;
6) утечка атрибутов доступа;
7) угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
8) угрозы выявления паролей по сети;
9) угрозы подмены доверенного объекта в сети;
10) угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;
11) угрозы типа «Отказ в обслуживании»;
12) угрозы удаленного запуска приложений;
13) угрозы внедрения по сети вредоносных программ.
31. Актуальными угрозами безопасности ИСПДн АКО со СКЗИ являются атаки, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
1) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;
2) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ;
3) проведение атаки, находясь вне контролируемой зоны;
4) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) атаки по внесению несанкционированных изменений в СКЗИ и (или) в СФ, которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ (вирусов);
5) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
ключевую, аутентифицирующую и парольную информацию СКЗИ;
программные компоненты СКЗИ;
аппаратные компоненты СКЗИ;
программные компоненты СФ, включая ПО BIOS;
аппаратные компоненты СФ;
данные, передаваемые по каналам связи;
6) получение из находящихся в свободном доступе источников (включая сети общего пользования и (или) сеть «Интернет») информации об ИСПДн, в которой используется СКЗИ. При этом может быть получена следующая информация:
общие сведения об ИСПДн, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн);
сведения об информационных технологиях, базах данных, АС, ПО, используемых в ИСПДн совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в ИСПДн совместно с СКЗИ;
содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
сведения о каналах связи;
7) применение находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
8) применение специально разработанных АС и ПО;
9) проведение на этапе эксплуатации атаки из сетей общего пользования и (или) сети «Интернет», если ИСПДн, в которых используются СКЗИ, имеют выход в эти сети;
10) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава штатных средств.
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 04.01.2019 |
| Рубрики правового классификатора: | 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
