Основная информация
| Дата опубликования: | 06 апреля 2018г. |
| Номер документа: | RU18000201800308 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Удмуртская Республика |
| Принявший орган: | Правительство Удмуртской Республики |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ПРАВИТЕЛЬСТВО УДМУРТСКОЙ РЕСПУБЛИКИ
ПОСТАНОВЛЕНИЕ
от 6 апреля 2018 г. № 103
ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ УГРОЗ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЭКСПЛУАТИРУЕМЫХ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ УДМУРТСКОЙ РЕСПУБЛИКИ, АДМИНИСТРАЦИИ ГЛАВЫ И ПРАВИТЕЛЬСТВА УДМУРТСКОЙ РЕСПУБЛИКИ И ПОДВЕДОМСТВЕННЫХ ИМ ОРГАНИЗАЦИЯХ
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях, Правительство Удмуртской Республики постановляет:
1. Утвердить прилагаемый Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях (далее – Перечень угроз).
2. Исполнительным органам государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики:
1) определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых ими при осуществлении соответствующих видов деятельности, в соответствии с Перечнем угроз;
2) обеспечить определение подведомственными им организациями угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых ими при осуществлении соответствующих видов деятельности, в соответствии с Перечнем угроз.
3. Рекомендовать иным государственным органам Удмуртской Республики, органам местного самоуправления муниципальных образований в Удмуртской Республике руководствоваться настоящим постановлением при определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности.
4. Контроль за исполнением настоящего постановления возложить на Министерство информатизации и связи Удмуртской Республики.
Председатель
Правительства Удмуртской Республики
Я.В. Семенов
УТВЕРЖДЁН
постановлением Правительства
Удмуртской Республики
от 6 апреля 2018 года № 103
ПЕРЕЧЕНЬ
угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
I. Общие положения
1. Настоящий перечень определяет угрозы безопасности персональных данных (далее также – УБ ПДн), актуальные при обработке персональных данных (далее также – ПДн) в информационных системах персональных данных (далее также – ИСПДн), эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики (далее также – Орган) и подведомственных им организациях (далее также – Организация) при осуществлении ими соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее также – Перечень УБ ПДн).
2. В настоящем Перечне УБ ПДн не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
3. Перечень УБ ПДн предназначен для Органов и Организаций при решении ими следующих задач:
1) определение УБ ПДн, актуальных при обработке ПДн в ИСПДн;
2) проведение анализа защищенности ИСПДн от УБ ПДн, актуальных при обработке ПДн в ИСПДн, в ходе выполнения мероприятий по информационной безопасности (защите информации);
3) осуществление модернизации системы защиты ПДн;
4) проведение мероприятий по минимизации и (или) нейтрализации УБ ПДн;
5) предотвращение несанкционированного воздействия на технические средства ИСПДн;
6) осуществление контроля за обеспечением уровня защищенности ПДн.
4. При определении УБ ПДн, актуальных при обработке ПДн в информационных системах персональных данных, эксплуатируемых в Органах и Организациях (далее также – актуальная УБ ПДн), и совокупности предположений о возможностях нарушителя, которые могут использоваться при создании, подготовке и проведении атак, Органы и Организации с учетом категории ИСПДн, условий и особенностей функционирования ИСПДн, характера и способов обработки ПДн в ИСПДн применяют:
1) группы актуальных УБ ПДн в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях, приведенные в приложении 1 к настоящему Перечню УБ ПДн;
2) расширенный перечень угроз безопасности персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях, приведенный в приложении 2 к настоящему Перечню УБ ПДн;
3) типовые возможности нарушителей безопасности информации и направления атак, приведенные в приложении 3 к настоящему Перечню УБ ПДн.
5. Определение требований к системе защиты информации ИСПДн и выбор средств защиты информации для системы защиты персональных данных с учетом УБ ПДн, определенных в качестве актуальных при обработке ПДн в ИСПДн, осуществляется оператором в соответствии с нормативными правовыми актами, принятыми федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в соответствии с законодательством.
6. В настоящем Перечне УБ ПДн дано описание:
1) категорий ИСПДн как объектов защиты;
2) объектов, защищаемых при определении УБ ПДн в ИСПДн;
3) возможных источников УБ ПДн, обрабатываемых в ИСПДн;
4) возможных видов неправомерных действий и деструктивных воздействий на ПДн в ИСПДн;
5) основных способов реализации УБ ПДн.
7. Список используемых сокращений:
ЕЗСПД – Единая защищенная сеть передачи данных государственных органов Удмуртской Республики, функционирующая в соответствии с постановлением Правительства Удмуртской Республики от 16 апреля 2012 года № 169 «Об утверждении Положения о Единой защищенной сети передачи данных государственных органов Удмуртской Республики». Подключение к данной сети ее участников осуществляется с применением сертифицированных аппаратно-программных комплексов шифрования «VipNetCoordinator»;
ЗСПД – защищенные сети персональных данных Органов и Организаций, функционирующих для обеспечения их деятельности на территории Удмуртской Республики. Подключение к данным сетям их участников осуществляется с применением сертифицированных аппаратно-программных комплексов шифрования «VipNetCoordinator» и программных комплексов шифрования «VipNetClient»;
СВТ – средства вычислительной техники;
НСД – несанкционированный доступ;
НДВ – недекларированные возможности;
СПО – системное программное обеспечение;
ППО – прикладное программное обеспечение;
СЗИ – средства защиты информации;
СКЗИ – средства криптографической защиты информации;
ВЧ – высокочастотный;
ТС – технические средства;
ВТСС – вспомогательные технические средства;
ИВК – информационно-вычислительный комплекс;
ИС – информационная система;
ПЭМИН – побочное электромагнитное излучение;
ПАК – программно-аппаратный комплекс;
КЗ – контролируемая зона.
II. Владельцы и операторы информационных систем персональных
данных, сети передачи данных
8. Владельцами ИСПДн и их операторами являются федеральные государственные органы, государственные органы Удмуртской Республики, подведомственные им организации и иные организации.
9. Владельцы ИСПДн и их операторы расположены в пределах территории Российской Федерации.
10. Контролируемой зоной ИСПДн, функционирующих в Органах и Организациях, являются здания и отдельные помещения, принадлежащие им или находящиеся в их владении и (или) пользовании на законных основаниях. Все СВТ, участвующие в обработке ПДн, располагаются в пределах контролируемой зоны Органа (Организации). Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование оператора связи (провайдера), используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена и расположенное за пределами территории Органа (Организации).
11. Локальные вычислительные сети передачи данных в Органах (Организациях) организованы по топологии «звезда» и имеют подключения к следующим сетям:
1) внешним сетям (сетям провайдера), подключение к которым организовано посредством оптоволоконных каналов связи операторов связи (провайдеров) и (или) проводных каналов связи операторов связи (провайдеров);
2) сетям исполнительных органов государственной власти Удмуртской Республики и подведомственных им организаций, иных государственных органов и организаций, расположенных на территории Российской Федерации. Подключение к данным сетям осуществляется в соответствии с регламентами взаимодействия. Органы, Организации, иные государственные органы и организации имеют подключение к ЕЗСПД и ЗСПД посредством защищенных каналов связи;
3) иным сетям, взаимодействие с которыми организовано Органами (Организациями) с целью исполнения своих полномочий (функций).
12. Подключение к сетям связи общего пользования осуществляется Органами (Организациями) при условии соблюдения ими мер по обеспечению безопасности передаваемых персональных данных, в том числе мер по защите информационных систем персональных данных, средств и систем связи и передачи данных.
III. Объекты защиты и технологии обработки персональных данных в информационных системах персональных данных
13. При определении Органами (Организациями) УБ ПДн в конкретной ИСПДн в обязательном порядке защите подлежат следующие объекты, входящие в ИСПДн:
1) персональные данные, обрабатываемые в информационных системах персональных данных;
2) информационные ресурсы информационных систем персональных данных (файлы, базы данных и т. п.);
3) средства вычислительной техники, участвующие в обработке персональных данных посредством информационных систем персональных данных;
4) аппаратное обеспечение средств вычислительной техники, участвующих в обработке персональных данных посредством информационных систем персональных данных;
5) программное (микропрограммное, системное и прикладное) обеспечение СВТ, участвующих в обработке персональных данных посредством информационных систем персональных данных;
6) средства криптографической защиты информации;
7) среда функционирования СКЗИ;
8) информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;
9) документы, дела, журналы, картотеки, издания, технические документы, видео-, кино- и фотоматериалы, рабочие материалы и т. п., в которых отражена защищаемая информация, относящаяся к ИСПДн и их криптографической защите, включая документацию на СКЗИ и на технические и программные компоненты среды функционирования СКЗИ;
10) носители защищаемой информации, используемые в ИСПДн, в том числе в процессе криптографической защиты ПДн, носители ключевой, парольной и аутентифицирующей информации СКЗИ, а также порядок доступа к ним;
11) используемые ИСПДн каналы (линии) связи, включая кабельные системы;
12) сети передачи данных, не выходящие за пределы контролируемой зоны ИСПДн;
13) сетевой трафик;
14) помещения, в которых обрабатываются ПДн посредством ИСПДн и располагаются компоненты ИСПДн;
15) помещения, в которых находятся ресурсы ИСПДн, имеющие отношение к криптографической защите ПДн;
16) системы обеспечения ИСПДн.
14. В состав средств вычислительной техники, участвующих в обработке персональных данных посредством информационных систем персональных данных, входят:
1) автоматизированные рабочие места пользователей с различными уровнями доступа (правами) (далее также – АРМ), представляющие собой программно-аппаратные комплексы, позволяющие осуществлять доступ пользователей к информационным системам персональных данных и предназначенные для локальной обработки информации;
2) терминальные станции, представляющие собой программно- аппаратные комплексы, позволяющие осуществлять доступ пользователей к информационным системам персональных данных, но не предназначенные для локальной обработки информации;
3) серверное оборудование, представляющее собой программно- аппаратный комплекс в совокупности с программным и информационным обеспечением для его управления (общесистемное программное обеспечение (операционные системы физических серверов, виртуальных серверов, АРМ и т. п.), прикладное программное обеспечение (системы управления базами данных и т. п.), предназначенный для обработки и консолидированного хранения персональных данных информационных систем персональных данных. Серверное оборудование может быть представлено автоматизированными рабочими местами пользователей с различными уровнями доступа (правами), выполняющими функции сервера;
4) сетевое и телекоммуникационное оборудование, представляющее собой оборудование, используемое для информационного обмена между серверным оборудованием, АРМ и терминальными станциями (коммутаторы, маршрутизаторы и т. п.).
15. Ввод персональных данных в информационные системы персональных данных осуществляется как с бумажных носителей, так и с электронных носителей информации. Персональные данные выводятся из информационных систем персональных данных как в электронном, так и в бумажном виде с целью их использования, хранения и (или) передачи третьим лицам.
IV. Общее описание информационных систем персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях при осуществлении ими соответствующих видов деятельности
16. С целью исполнения своих полномочий (функций) Органами (Организациями) обрабатываются все категории ПДн. Состав ПДн, подлежащих обработке в конкретной ИСПДн, цели обработки, действия (операции), совершаемые с ПДн в ИСПДн, определяются Органом (Организацией), являющимся оператором ИСПДн. Обработка ПДн в ИСПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Перечень обрабатываемых ПДн в ИСПДн должен соответствовать целям их обработки. ИСПДн и ее компоненты должны быть расположены в пределах Российской Федерации.
ИСПД подразделяются на:
1) ИСПДн, оператором которым является сам Орган (Организация);
2) ИСПДн, эксплуатируемые Органом (Организацией), но не в качестве ее оператора.
Для всех категорий персональных данных, обрабатываемых в информационных системах персональных данных, за исключением общедоступных персональных данных, требуется обеспечить следующие характеристики безопасности: конфиденциальность, целостность, доступность и подлинность информации. При обработке общедоступных персональных данных требуется обеспечить следующие характеристики безопасности: целостность, доступность и подлинность информации.
17. Информационные системы персональных данных, эксплуатируемые в Органах (Организациях) при осуществлении ими соответствующих видов деятельности, в зависимости от технологии обработки персональных данных, состава персональных данных и целей их обработки подразделяются на:
1) информационно-справочные;
2) сегментные;
3) региональные;
4) ведомственные;
5) служебные.
V. Информационно-справочные системы персональных данных
18. Информационно-справочные ИСПДн используются для официального доведения любой информации до определенного или неопределенного круга лиц, при этом факт доведения такой информации не порождает правовых последствий, однако может являться обязательным в соответствии с законодательством.
19. К основным информационно-справочным ИСПДн относятся:
1) официальные порталы (сайты) Органов (Организаций);
2) информационные порталы (сайты), которые ведутся конкретным Органом (Организацией) и посвящаются определенному проекту и (или) мероприятию, проводимому на территории Удмуртской Республики (далее также – информационные порталы (сайты);
3) закрытые порталы для нескольких групп участников Органов (Организаций);
4) Региональный портал государственных и муниципальных услуг Удмуртской Республики.
20. Официальные порталы (сайты) Органов (Организаций).
ИСПДн содержат сведения о деятельности Органов (Организаций), в том числе сведения, подлежащие обязательному опубликованию в соответствии с законодательством.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн может осуществляться посредством Веб-интерфейса сотрудниками государственного органа или организации и иными физическими лицами. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники государственного органа или организации, являющихся оператором ИСПДн, и иные физические лица.
ИСПДн по структуре являются функционирующими в контролируемой зоне Органа (Организации) (локальными) и (или) на серверном оборудовании государственных органов и организаций в пределах их контролируемых зон, и (или) на вычислительных ресурсах облачного провайдера.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
21. Информационные порталы (сайты).
ИСПДн содержат сведения о мероприятиях, проводимых Органами (Организациями) в соответствии с функциями и полномочиями Органов (Организаций).
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется посредством Веб-интерфейса сотрудниками государственного органа или организации, являющихся оператором ИСПДн, и иными физическими лицами. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники государственного органа или организации, являющихся оператором ИСПДн, и иные физические лица.
ИСПДн по структуре являются функционирующими в контролируемой зоне Органа (Организации) (локальными) и (или) на серверном оборудовании государственных органов и организаций в пределах их контролируемых зон, и (или) на вычислительных ресурсах облачного провайдера.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
22. Закрытые порталы для нескольких групп участников Органов (Организаций).
ИСПДн содержат сведения, предоставляемые ограниченному кругу лиц из числа Органов и (или) Организаций в соответствии с функциями и полномочиями Органов (Организаций).
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) посредством Веб-интерфейса в соответствии с предоставленными правами. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
К субъектам, персональные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органов (Организаций).
ИСПДн по структуре являются функционирующими в контролируемой зоне Органа (Организации) (локальными) и (или) на серверном оборудовании государственного органа или организации в пределах их контролируемых зон, и (или) на вычислительных ресурсах облачного провайдера.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Средства вычислительной техники, участвующие в обработке:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
23. Региональный портал государственных и муниципальных услуг Удмуртской Республики.
ИСПДн содержат социально значимую информацию и сведения, необходимые для получения гражданами государственных и муниципальных услуг в электронном виде.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций) и иными физическими лицами в режиме Веб-интерфейса.
ПДн обрабатываются в деперсонифицированном (обезличенном) виде. Запрашиваемые данные не позволяют однозначно идентифицировать субъекта ПДн без использования сторонних баз данных. После получения запрашиваемых данных ИСПДн для получения ответа на запрос субъекта ПДн передает его данные по закрытым каналам связи в ИСПДн государственных органов и организаций, в компетенцию которых входит предоставление информации по запросу субъекта. Ответ на запрос (сведения о ходе исполнения запроса) субъекта отображается в ИСПДн.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн относятся сотрудники государственного органа или организации, являющихся оператором ИСПДн, и иные физические лица.
Структура ИСПДн является функционирующей в контролируемой зоне Органа (Организации) (локальной) и (или) на серверном
оборудовании государственного органа или организации в пределах их контролируемых зон, и (или) на вычислительных ресурсах облачного провайдера.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
VI. Сегментные информационные системы персональных данных
24. Сегментные ИСПДн представляют собой сегменты федеральных информационных систем, которые создаются и эксплуатируются на уровне Удмуртской Республики на основании предоставляемых с федерального уровня рекомендаций (правовых, организационных, технических), и используются для сбора, обработки, свода данных на уровне Удмуртской Республики и передачи их на федеральный уровень, и наоборот, при этом цели и задачи создания (модернизации), эксплуатации данных информационных систем определяются на федеральном уровне. Сегментные ИСПДн предназначены для реализации полномочий федеральных органов власти и исполнения функций Органов (Организаций).
Обработке в ИСПДн могут подлежать все категории ПДн.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций) в специализированных программах и (или) посредством Веб-интерфейса, и в отдельных случаях физическими лицами в режиме Веб-интерфейса (с ограниченными правами доступа).
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся физические лица.
Структура ИСПДн является распределенной или локальной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с федерального уровня (федерального сегмента), между региональными сегментами ИСПДн (при наличии) и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) с использованием иных средств защиты информации, передаваемой по открытым каналам связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации), и передающее данные на центральный сегмент или напрямую на центральный сервер, либо на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или с нарочным);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на удаленном серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент, или на центральном сегменте).
ИСПДн, реализованные по технологии «тонкого клиента», подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля, и (или) электронного сертификата, и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) электронного сертификата, и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
VII. Региональные информационные системы персональных данных
25. Региональные ИСПДн создаются и эксплуатируются по решению Органа в интересах Органа (Органов) и (или) Организации (Организаций), при этом цели и задачи создания (модернизации), эксплуатации региональных ИСПДн, а также требования к ним определяются в решении Органа.
По выполняемым функциям ИСПДн подразделяются на:
1) интеграционные (система межведомственного электронного взаимодействия Удмуртской Республики (далее также – РСМЭВ);
2) многопрофильные (например, Система межведомственного электронного документооборота государственных органов Удмуртской Республики, Система исполнения регламентов Удмуртской Республики, автоматизированная информационная система многофункциональных центров предоставления государственных и муниципальных услуг Удмуртской Республики (АИС МФЦ);
3) ИСПДн для Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики.
26. ИСПДн интеграционные.
Интеграционные ИСПДн характеризуются отсутствием пользователей (кроме администраторов ИСПДн и администраторов безопасности ИСПДн). ИСПДн функционируют исключительно в целях интеграции и передачи данных между ИСПДн иных категорий.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) общедоступные;
3) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся физические лица.
Структура ИСПДн является локальной или распределенной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с ИСПДн федерального уровня и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) посредством ЕЗСПД и ЗСПД;
3) с использованием иных средств защиты информации, передаваемой по открытым каналам связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
27. ИСПДн многопрофильные.
Многопрофильные ИСПДн предназначены для централизованной автоматизации делопроизводства и документооборота, учета корреспонденции, обращений граждан, обеспечения доступа к электронным документам и т. п. в Органах (Организациях).
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) иные;
3) общедоступные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся физические лица.
Структура ИСПДн является локальной или распределенной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) посредством ЕЗСПД и ЗСПД;
2) с использованием сторонних СКЗИ.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
28. ИСПДн для Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики.
ИСПДн предназначены для автоматизации совместной деятельности Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики, в том числе деятельности, осуществление которой необходимо в соответствии с законодательством.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики в специализированных программах в режиме Веб-интерфейса.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики.
Структура ИСПДн является локальной, функционирующей в контролируемой зоне Органа (Организации), иного государственного органа или организации на территории Удмуртской Республики.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) посредством ЕЗСПД и ЗСПД;
3) с использованием сторонних СКЗИ.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
29. По архитектуре региональные ИСПДн подразделяются на:
1) сегментированные;
2) централизованные;
3) смешанные.
30. Сегментированные ИСПДн делятся на центральный и периферийный сегменты, функционирующие независимо.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
Периферийные сегменты являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. В состав периферийных сегментов входят АРМ, а также АРМ, выполняющие функции сервера, или серверное оборудование. Пользователи периферийных сегментов подключаются к расположенным в пределах контролируемой зоны АРМ, выполняющим функции сервера, или серверному оборудованию, осуществляющему консолидацию сведений на уровне периферийного сегмента, который, в свою очередь, передает полученные данные в центральный сегмент.
31. По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к АРМ, выполняющим функции сервера, или серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации) и передающему данные на центральный сегмент);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент).
ИСПДн, реализованные по технологии «тонкого клиента», подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
32. Централизованные ИСПДн делятся на центральный и периферийный сегменты.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
В состав периферийных сегментов входят только АРМ, которые являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. Пользователи периферийных сегментов подключаются напрямую к центральному сегменту и осуществляют обработку данных непосредственно на нем.
33. По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к центральному сегменту, или на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или с нарочным);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на центральном сегменте).
ИСПДн, построенные по технологии «тонкого клиента», подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля
2011 года № 63-ФЗ «Об электронной подписи».
34. Смешанные ИСПДн построены с одновременным применением сегментированных и централизованных архитектур. ИСПДн могут объединять в себе технологии обработки, характерные как для сегментированных ИСПДн, так и для централизованных ИСПДн.
VIII. Ведомственные информационные системы персональных данных
35. Ведомственные информационные системы персональных данных представляют собой информационные системы персональных данных, создаваемые и эксплуатируемые на основании решения Органа в целях реализации его полномочий и исполнения функций Органа и (или) подведомственных организаций в определенной отраслевой сфере деятельности.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) иные.
36. Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники оператора ИСПДн, иных государственных органов и организаций, а также иные физические лица.
Структура ИСПДн является распределенной или локальной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн между сегментами ИСПДн (при наличии) и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) посредством ЕЗСПД и ЗСПД;
3) с использованием сторонних СКЗИ.
Также обмен ПДн между сегментами ИСПДн (при наличии) и с иными ИСПДн может осуществляться посредством собственных корпоративных сетей Органа (Организации).
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) терминальная станция;
3) серверное оборудование;
4) сетевое и телекоммуникационное оборудование.
37. По архитектуре ведомственные ИСПДн подразделяются на:
1) сегментированные;
2) централизованные;
3) смешанные.
38. Сегментированные ИСПДн делятся на центральный и периферийный сегменты, функционирующие независимо.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
Периферийные сегменты являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. В состав периферийных сегментов входят АРМ, а также АРМ, выполняющие функции сервера, или серверное оборудование. Пользователи периферийных сегментов подключаются к расположенному в пределах контролируемой зоны АРМ, выполняющим функции сервера, или серверному оборудованию, осуществляющему консолидацию сведений на уровне периферийного сегмента, который в свою очередь передает полученные данные в центральный сегмент.
39. По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к автоматизированному рабочему месту, выполняющему функции сервера, или серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации) и передающему данные на центральный сегмент);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент).
ИСПДн, реализованные по технологии «тонкого клиента», подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля
2011 года № 63-ФЗ «Об электронной подписи».
Централизованные ИСПДн делятся на центральный и периферийный сегменты.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
В состав периферийных сегментов входят только АРМ, которые являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. Пользователи периферийных сегментов подключаются напрямую к центральному сегменту и осуществляют обработку данных непосредственно на центральном сегменте.
40. По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к центральному сегменту, или на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или с нарочным);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на центральном сегменте).
ИСПДн, реализованные по технологии тонкого клиента, подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
41. Смешанные ИСПДн построены с одновременным применением сегментированных и централизованных архитектур. ИСПДн могут объединять в себе технологии обработки, характерные как для сегментированных ИСПДн, так и для централизованных ИСПДн.
IX. Служебные информационные системы персональных данных
42. Служебные ИСПДн создаются (эксплуатируются) по решению Органа (Организации) в интересах Органа (Организации), цели и задачи создания (модернизации), эксплуатации которых определяются Органом (Организацией), и используются для автоматизации определённой области деятельности или типовой деятельности, неспецифичной относительно полномочий конкретного Органа (Организации). Служебные ИСПДн предназначены для управления бизнес-процессами в Органе (Организации).
43. К основным служебным ИСПДн относятся, например:
1) ИСПДн бухгалтерского учета, управления финансами, пенсионного фонда и налоговых служб;
2) ИСПДн кадрового учета и управления персоналом;
3) ИСПДн поддерживающие.
44. ИСПДн бухгалтерского учета, управления финансами, пенсионного фонда и налоговых служб.
ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с ведением бухгалтерского учета, управлением финансами, осуществлением пенсионных отчислений и уплатой налогов.
Обработке в ИСПДн подлежат категории ПДн, указанные в абзаце четвертом пункта 5 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1118.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органа (Организации), являющегося оператором ИСПДн.
Структура ИСПДн является локальной, функционирующей в контролируемой зоне Органа (Организации). ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) с использованием сторонних СКЗИ.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к базе данных, которая размещается на серверном сегменте (сервере/автоматизированном рабочем месте, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на удаленном серверном сегменте (сервере/автоматизированном рабочем месте, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации).
Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
45. ИСПДн кадрового учета и управления персоналом.
ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с ведением кадрового учета и управления персоналом.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных и (или) стандартных офисных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органа (Организации), являющегося оператором ИСПДн, и физические лица, имеющие трудовые отношения с Органом (Организацией) и (или) претендующими на замещение должностей в Органе (Организации).
Структура ИСПДн является локальной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) с использованием сторонних СКЗИ.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
По технологии обработки ИСПДн построены по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к базе данных, которая размещается на серверном сегменте (сервере/автоматизированном рабочем месте, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации). Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
46. ИСПДн поддерживающие.
ИСПДн предназначены для автоматизации деятельности Органов и Организаций, связанной с осуществлением ими (их сотрудниками) своих функций, полномочий и задач.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) иные;
3) общедоступные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных и (или) стандартных офисных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органа (Организации), являющегося оператором ИСПДн, и иные физические лица.
Структура ИСПДн является локальной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн не осуществляется.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
По технологии обработки ИСПДн подразделяются на:
1) построенные по принципу «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к серверному сегменту (серверу/автоматизированному рабочему месту, выполняющему функцию сервера), располагающемуся в пределах контролируемой зоны Органа (Организации);
2) построенные на базе стандартного офисного программного обеспечения (ИСПДн представляет собой базу данных в формате стандартного офисного приложения, обрабатываемую и хранящуюся на АРМ);
3) построенные по Веб-технологии (пользователи осуществляют деятельность в ИСПДн посредством Веб-интерфейса, подключающегося к локальному Веб-серверу, располагающемуся в пределах контролируемой зоны Органа (Организации).
Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
X. Угрозы безопасности персональных данных, выявленные при функционировании информационных систем персональных данных
47. Источники УБ ПДн в ИСПДн.
Источниками УБ ПДн в ИСПДн выступают:
1) носитель вредоносной программы;
2) аппаратная закладка;
3) нарушитель.
48. Носитель вредоносной программы.
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер.
Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:
1) отчуждаемый носитель (дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый жесткий диск и т. п.);
2) встроенные носители информации (жесткие диски, микросхемы оперативной памяти, процессоры, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок (видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т. п.), микросхемы прямого доступа к памяти, шин передачи данных, портов ввода/вывода);
3) микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т. п.).
Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:
1) пакеты передаваемых по компьютерной сети сообщений;
2) файлы (текстовые, графические, исполняемые и т. д.).
49. Аппаратная закладка.
Потенциально может рассматриваться возможность применения аппаратных средств, предназначенных для регистрации вводимой в ИСПДн с клавиатуры АРМ информации (ПДн), например:
1) аппаратная закладка внутри клавиатуры;
2) аппаратная закладка для считывания данных с кабеля клавиатуры бесконтактным методом;
3) аппаратная закладка в виде устройства, включенного в разрыв кабеля;
4) аппаратная закладка внутри системного блока.
Ввиду отсутствия возможности неконтролируемого пребывания физических лиц в служебных помещениях, в которых размещены технические средства ИСПДн, или в непосредственной близости от них, возможность установки аппаратных закладок посторонними лицами отсутствует.
Существование данного источника УБ ПДн маловероятно также из-за несоответствия стоимости аппаратных закладок, сложности их скрытой установки и полученной в результате информации.
50. Нарушитель.
Под нарушителем безопасности информации понимается физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке в ИСПДн.
По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на три типа:
1) внешний нарушитель. Данный тип нарушителя не имеет права постоянного или имеет право разового (контролируемого) доступа в контролируемую зону, а также не имеет доступа к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ, или он ограничен и контролируется. Внешний нарушитель может реализовывать угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
2) внутренний нарушитель, имеющий доступ к ИСПДн. Данный тип нарушителя имеет право постоянного или периодического доступа на территорию КЗ, а также доступ к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ. Внутренний нарушитель, имеющий доступ к ИСПДн, может проводить атаки с использованием внутренней (локальной) сети передачи данных и непосредственно в ИСПДн;
3) внутренний нарушитель, не имеющий доступ к ИСПДн. Данный тип нарушителя имеет право постоянного или периодического доступа на территорию КЗ, но не имеет доступ к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ. Внутренний нарушитель, не имеющий доступ к ИСПДн, может проводить атаки с использованием внутренней (локальной) сети передачи данных.
51. Основные УБ ПДн в ИСПДн:
1) угрозы утечки информации по техническим каналам;
2) угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
3) угрозы нарушения доступности информации;
4) угрозы нарушения целостности информации;
5) угрозы НДВ в СПО и ППО;
6) угрозы, не являющиеся атаками;
7) угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
8) угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
9) угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
10) угрозы ошибочных/деструктивных действий лиц;
11) угрозы нарушения конфиденциальности;
12) угрозы программно-математических воздействий;
13) угрозы, связанные с использованием облачных услуг;
14) угрозы, связанные с использованием технологий виртуализации;
15) угрозы, связанные с нарушением правил эксплуатации машинных носителей;
16) угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
17) угрозы физического доступа к компонентам ИСПДн;
18) угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
19) угрозы, связанные с использованием сетевых технологий;
20) угрозы инженерной инфраструктуры;
21) угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
22) угрозы, связанные с контролем защищенности ИСПДн;
23) угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
XI. Меры, направленные на минимизацию угроз безопасности персональных данных в информационных системах персональных данных
52. При обработке ПДн в ИСПДн Органы (Организации) применяют правовые, организационные и технические меры, установленные законодательством, а также руководствуются следующими документами:
приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 года;
Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю 14 февраля 2008 года;
Методическими рекомендациями по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утвержденными Министерством здравоохранения и социального развития Российской Федерации, согласованными с Федеральной службой по техническому и экспортному контролю 22 декабря 2009 года;
Моделью угроз типовой медицинской информационной системы (МИС) типового лечебного профилактического учреждения (ЛПУ), утвержденной Министерством здравоохранения и социального развития Российской Федерации, согласованной с Федеральной службой по техническому и экспортному контролю 27 ноября 2009 года;
Моделью угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли, согласованной с Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и одобренной решением секции № 1 Научно-технического совета Министерства связи и массовых коммуникаций Российской Федерации «Научно-техническое и стратегическое развитие отрасли» от 21 апреля 2010 года № 2;
Руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация информационных систем и требования по защите информации», утвержденным решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года;
Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными решением Коллегии Государственной технической комиссии при Президенте Российской Федерации № 7.2 от 2 марта 2001 года;
Методическими рекомендациями по разработке нормативных правовых актов, определяющими угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденными руководством 8 Центра ФСБ России 31 марта 2015 года № 149/7/2/6-432;
Банком данных угроз безопасности, сформированным Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации.
53. Банк данных угроз безопасности, актуальный на 8 февраля 2017 года, при формировании частных моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных необходимо рассматривать с учетом дополнительных угроз безопасности персональных данных в актуальной версии Банка данных угроз безопасности на дату создания частной модели угроз безопасности.
54. Реализация правовых, организационных и технических мер, направленных на минимизацию УБ ПДн в ИСПДн, осуществляется специалистами по информационной безопасности (технической защите информации) Органов (Организаций), ответственными за планирование, организацию и реализацию мероприятий по обеспечению информационной безопасности в Органе (Организации).
____________________
Приложение 1
к Перечню угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, экcплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
АКТУАЛЬНЫЕ УГРОЗЫ
безопасности персональных данных в информационных системах персональных данных,
эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
№
п/п
Наименование информационных систем персональных данных
Актуальные угрозы безопасности персональных данных
1
Информационно-справочные информационные системы персональных данных
1.1
Официальные порталы (сайты) исполнительных органов государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организаций (далее – Органов (Организаций)
угрозы использования штатных средств с целью совершения несанкционированного доступа (далее также – НСД) к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы недекларированных возможностей (далее также – НДВ) в системном программном обеспечении (далее также – СПО) и прикладном программном обеспечении (далее также – ППО);
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, средствах защиты информации (далее также – СЗИ), средствах криптографической защиты информации (далее также – СКЗИ), аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
1.2
Информационные порталы (сайты)
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедуры установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
1.3
Закрытые порталы для нескольких групп участников Органов (Организаций)
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
1.4
Региональный портал государственных и муниципальных услуг Удмуртской Республики
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
2
Сегментные информационные системы персональных данных
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
3
Региональные информационные системы персональных данных
3.1
Интеграционные информационные системы персональных данных
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
3.2
Многопрофильные информационные системы персональных данных
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
3.3
Информационные системы персональных данных для Органов (Организаций)
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
4
Ведомственные информационные системы персональных данных
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
5
Служебные информационные системы персональных данных
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
Примечание:
* – актуальны при использовании в информационной системе облачных услуг;
** – актуальны при использовании в информационной системе.
___________________
Приложение 2
к Перечню угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
РАСШИРЕННЫЙ ПЕРЕЧЕНЬ
угроз безопасности персональных данных
в информационных системах персональных данных, эксплуатируемых
в исполнительных органах государственной власти Удмуртской Республики, Администрации
Главы и Правительства Удмуртской Республики и подведомственных им организациях
№
п/п
Наименование угроз безопасности персональных данных в информационных системах персональных данных
Источники угроз персональных данных
Объект воздействия
1
Угрозы утечки информации по техническим каналам
1.1
Угрозы утечки акустической информации
1.1.1
Использование направленных (ненаправленных) микрофонов воздушной проводимости для съема акустического излучения информативного речевого сигнала
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются персональные данные (далее также – ПДн)
1.1.2
Использование «контактных микрофонов» для съема виброакустических сигналов
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.1.3
Использование «лазерных микрофонов» для съема виброакустических сигналов
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.1.4
Использование средств высокочастотного (далее также – ВЧ) навязывания для съема электрических сигналов, возникающих за счет «микрофонного эффекта» в технических средствах (далее также – ТС) обработки информации и вспомогательных технических средствах (далее также – ВТСС) (распространяются по проводам и линиям, выходящим за пределы служебных помещений)
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.1.5
Применение средств ВЧ-облучения для съема радиоизлучения, модулированного информативным сигналом, возникающего при непосредственном облучении ТС обработки информации и ВТСС ВЧ-сигналом
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.1.6
Применение акустооптических модуляторов на базе волоконно-оптической, находящихся в поле акустического сигнала («оптических микрофонов»)
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.2
Угрозы утечки видовой информации
1.2.1
Визуальный просмотр на экранах дисплеев и других средств отображения средств вычислительной техники (далее также – СВТ), информационно-вычислительных комплексов (далее также – ИВК), входящих в состав информационных систем (далее также – ИC)
внешний нарушитель с низким потенциалом
аппаратное обеспечение СВТ
1.2.2
Визуальный просмотр с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, ИВК, входящих в состав ИС
внешний нарушитель с высоким потенциалом
аппаратное обеспечение СВТ
1.2.3
Использование специальных электронных устройств съема видовой информации (видеозакладки)
внешний нарушитель с высоким потенциалом
аппаратное обеспечение СВТ
1.3
Угрозы утечки информации по каналам побочных электромагнитных излучений (далее также – ПЭМИН)
1.3.1
Применение специальных средств регистрации ПЭМИН от ТС и линий передачи информации программно-аппаратных комплексов, сканерных приемников, цифровых анализаторов спектра, селективных микровольтметров)
внешний нарушитель с высоким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы
1.3.2
Применение токосъемников для регистрации наводок информативных сигналов, обрабатываемых ТС, на цепи электропитания и линии связи, выходящие за пределы служебных помещений
внешний нарушитель с высоким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы,
сети электропитания
1.3.3
Применение специальных средств регистрации радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав ТС ИС, или при наличии паразитной генерации в узлах ТС
внешний нарушитель с высоким потенциалом
аппаратное обеспечение СВТ
1.3.4
Применение специальных средств регистрации радиоизлучений, формируемых в результате ВЧ-облучения ТС ИС, в которых проводится обработка информативных сигналов – параметрических каналов утечки
внешний нарушитель с высоким потенциалом
аппаратное обеспечение СВТ
2
Угрозы использования штатных средств ИС с целью совершения несанкционированного доступа (далее также – НСД) к информации
2.1
Угроза некорректного использования функционала программного обеспечения
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, аппаратное обеспечение
2.2
Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
2.3
Угроза несанкционированного изменения аутентификационной информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
2.4
Угроза несанкционированного использования привилегированных функций BIOS
внешний нарушитель с высоким потенциалом, внутренний нарушитель с низким потенциалом
аппаратное обеспечение, микропрограммное обеспечение BIOS/UEFI
2.5
Доступ в операционную среду (локальную операционную системы (далее также – ОС) отдельного ТС ИС) с возможностью выполнения НСД вызовом штатных процедур или запуска специально разработанных программ
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
3
Угрозы нарушения доступности информации
3.1
Угроза длительного удержания вычислительных ресурсов пользователями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, носитель информации, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
3.2
Угроза повреждения системного реестра
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
объекты файловой системы, реестр
3.3
Угроза приведения системы в состояние «отказ в обслуживании»
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
3.4
Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение
3.5
Угроза утраты вычислительных ресурсов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
3.6
Угроза вывода из строя/выхода из строя отдельных технических средств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
аппаратное обеспечение СВТ
3.7
Угроза вывода из строя незарезервированных технических/программных средств/каналов связи
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
аппаратное обеспечение СВТ, используемые информационными системами персональных данных (далее также – ИСПДн) каналы (линии) связи, включая кабельные системы
3.8
Угроза отсутствия актуальных резервных копий информации
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
3.9
Угроза потери информации в процессе ее обработки техническими и (или) программными средствами и при передаче по каналам связи
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
3.10
Угроза переполнения канала связи вследствие множества параллельных попыток авторизации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы
3.11
Угроза нехватки ресурсов ИС для выполнения штатных задач в результате обработки множества параллельных задач, выполняемых одной учетной записью
внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
3.12
Угроза вывода из строя информационной системы при подаче на интерфейсы информационного обмена «неожидаемой» информации
внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение
3.13
Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
3.14
Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети
внешний нарушитель со средним потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
3.15
Угроза нарушения технологического/производственного процесса из-за временны́х задержек, вносимых средством защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4
Угрозы нарушения целостности информации
4.1
Угроза нарушения целостности данных кеша
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение
4.2
Угроза некорректного задания структуры данных транзакции
внутренний нарушитель со средним потенциалом
сетевой трафик, база данных, сетевое программное обеспечение
4.3
Угроза переполнения целочисленных переменных
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
4.4
Угроза подмены содержимого сетевых ресурсов
внешний нарушитель с низким потенциалом
прикладное программное обеспечение, сетевое программное обеспечение, сетевой трафик
4.5
Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.6
Угроза сбоя обработки специальным образом изменённых файлов
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.7
Угроза отсутствия контроля целостности обрабатываемой в ИС информации, применяемого программного обеспечения, в том числе средств защиты информации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.8
Угроза отсутствия целостных резервных копий информации, программного обеспечения, средств защиты информации в случае реализации угроз информационной безопасности
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.9
Угроза отсутствия контроля за поступающими в информационную систему данными, в том числе незапрашиваемыми
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.10
Отсутствие средств централизованного управления за поступающими в информационную систему данными, в том числе незапрашиваемыми
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.11
Отсутствие автоматизированных фильтров, осуществляющих обработку поступающей в ИС информации
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.12
Угроза доступа в ИС информации от неаутентифицированных серверов/пользователей
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.13
Угроза отсутствия контроля за данными, передаваемыми из информационной системы
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.14
Отсутствие резервного копирования информации, передаваемой из ИС
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.15
Угроза передачи из ИС недопустимой информации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.16
Угроза отсутствия контроля за данными, вводимыми в систему пользователями
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.17
Угроза ввода/передачи недостоверных/ошибочных данных
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.18
Угроза подмены используемых информационной системой файлов
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.19
Угроза модификации/удаления файлов журналов системного, прикладного ПО, средств защиты
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.20
Угроза установки/запуска модифицированного программного обеспечения и (или) модифицированных обновлений программного обеспечения
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.21
Угроза модификации/стирания/удаления данных системы регистрации событий информационной безопасности
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.22
Отсутствие регламента/графика проведения контроля целостности применяемых программных средств, в том числе средств защиты информации
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.23
Угроза отсутствия контроля целостности информации, обрабатываемой ИС, и ее структуры
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.24
Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.25
Угроза несанкционированной модификации защищаемой информации
внешний нарушитель со средним потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
5
Угрозы НДВ в СПО и ППО
5.1
Угроза перебора всех настроек и параметров приложения
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
5.2
Угроза возникновения ошибок функционирования системного ПО, реализация недекларированных возможностей системного ПО
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
5.3
Угроза использования встроенных недекларированных возможностей для получения несанкционированного доступа к ИС
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
6
Угрозы, не являющиеся атаками
6.1
Угроза неверного определения формата входных данных, поступающих в хранилище больших данных
внутренний нарушитель с низким потенциалом
хранилище больших данных, метаданные
6.2
Угроза невозможности восстановления сессии работы на персональную электронно-вычислительную машину (далее – ПЭВМ) при выводе из промежуточных состояний питания
внутренний нарушитель с низким потенциалом
рабочая станция, носитель информации, системное программное обеспечение, метаданные, объекты файловой системы, реестр
6.3
Угроза исчерпания вычислительных ресурсов хранилища больших данных
внутренний нарушитель с низким потенциалом
хранилище больших данных, метаданные
6.4
Угроза неконтролируемого копирования данных внутри хранилища больших данных
внутренний нарушитель с низким потенциалом
хранилище больших данных, метаданные
6.5
Угроза неконтролируемого уничтожения информации хранилищем больших данных
внутренний нарушитель с низким потенциалом
хранилище больших данных, метаданные
6.6
Угроза выхода из строя/отказа отдельных технических, программных средств, каналов связи
внутренний нарушитель с низким потенциалом
аппаратное обеспечение СВТ,
используемые ИСПДн каналы (линии) связи, включая кабельные системы
7
Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации
7.1
Угроза аппаратного сброса пароля BIOS
внутренний нарушитель с низким потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
7.2
Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.3
Угроза обхода некорректно настроенных механизмов аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение
7.4
Угроза программного сброса пароля BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI, системное программное обеспечение
7.5
Угроза «кражи» учётной записи доступа к сетевым сервисам
внешний нарушитель с низким потенциалом
сетевое программное обеспечение
7.6
Угроза получения доступа к ИС, компонентам ИС, информации, обрабатываемой ИС без прохождения процедуры идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.7
Угроза получения доступа к ИС вследствие ошибок подсистемы идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.8
Угроза получения несанкционированного доступа в результате сбоев/ошибок подсистемы идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.9
Угроза получения несанкционированного доступа сторонними лицами, устройствами
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.10
Угроза отсутствия/слабости процедур аутентификации при доступе пользователей/устройств к ресурсам ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.11
Угрозы авторизации с использованием устаревших, но не отключённых учетных записей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.12
Угроза использования «слабых» методов идентификации и аутентификации пользователей, в том числе при использовании удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.13
Угроза применения только программных методов двухфакторной аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.14
Угроза использования долговременных паролей для подключения к ИС посредством удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.15
Угроза передачи аутентифицирующей информации по открытым каналам связи без использования криптографических средств защиты информации
внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.16
Угроза доступа к ИС неаутентифицированных устройств и пользователей
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.17
Угроза повторного использования идентификаторов в течение как минимум 1 года
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.18
Угроза использования идентификаторов, неиспользуемых более 45 дней
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.19
Угроза раскрытия используемых идентификаторов пользователя в публичном доступе
внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.20
Отсутствие управления идентификаторами внешних пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.21
Угроза использования «слабых»/предсказуемых паролей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.22
Отсутствие отказоустойчивой централизованной системы идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.23
Угроза использования пользователями идентичных идентификаторов в разных информационных системах
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.24
Угроза использования неподписанных программных средств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.25
Угроза запуска несанкционированных процессов и служб от имени системных пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.26
Угроза отсутствия регламента работы с персональными идентификаторами
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.27
Отсутствие в централизованной системе идентификации и аутентификации атрибутов, позволяющих однозначно определить внешних и внутренних пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.28
Угроза бесконтрольного доступа пользователей к процессу загрузки
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.29
Угроза подмены/модификации базовой системы ввода-вывода, программного обеспечения телекоммуникационного оборудования
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
8
Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом
8.1
Угроза воздействия на программы с высокими привилегиями
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, виртуальная машина, сетевое программное обеспечение, сетевой трафик
8.2
Угроза доступа к защищаемым файлам с использованием обходного пути
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
объекты файловой системы
8.3
Угроза доступа к локальным файлам сервера при помощи URL
внешний нарушитель со средним потенциалом
сетевое программное обеспечение
8.4
Угроза загрузки нештатной операционной системы
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
8.5
Угроза изменения режимов работы аппаратных элементов компьютера
внутренний нарушитель с высоким потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
8.6
Угроза изменения системных и глобальных переменных
внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
8.7
Угроза использования альтернативных путей доступа к ресурсам
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, объекты файловой системы, прикладное программное обеспечение, системное программное обеспечение
8.8
Угроза использования информации идентификации/аутентификации, заданной по умолчанию
внешний нарушитель со средним потенциалом, внутренний нарушитель с низким потенциалом
средства защиты информации, системное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, программно-аппаратные средства со встроенными функциями защиты
8.9
Угроза использования механизмов авторизации для повышения привилегий
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
8.10
Угроза нарушения изоляции среды исполнения BIOS
внутренний нарушитель с низким потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
8.11
Угроза невозможности управления правами пользователей BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
8.12
Угроза неправомерного ознакомления с защищаемой информацией
внутренний нарушитель с низким потенциалом
аппаратное обеспечение, носители информации, объекты файловой системы
8.13
Угроза несанкционированного доступа к аутентификационной информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр, машинные носители информации
8.14
Угроза несанкционированного копирования защищаемой информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
объекты файловой системы, машинный носитель информации
8.15
Угроза несанкционированного редактирования реестра
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, использующее реестр, реестр
8.16
Угроза несанкционированного создания учётной записи пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение
8.17
Угроза несанкционированного управления буфером
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
8.18
Угроза несанкционированного управления синхронизацией и состоянием
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение
8.19
Угроза несанкционированного управления указателями
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
8.20
Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, аппаратное обеспечение
8.21
Угроза повышения привилегий
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.22
Угроза подбора пароля BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
8.23
Угроза удаления аутентификационной информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, микропрограммное обеспечение, учётные данные пользователя
8.24
Угроза «форсированного веб-браузинга»
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
8.25
Угроза подделки записей журнала регистрации событий
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.26
Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.27
Угроза перехвата привилегированного процесса
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.28
Угроза несанкционированного доступа к системе по беспроводным каналам
внешний нарушитель с высоким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.29
Угроза перехвата привилегированного потока
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.30
Угроза подделки записей журнала регистрации событий
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.31
Угроза эксплуатации цифровой подписи программного кода
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.32
Угроза доступа к информации и командам, хранящимся в BIOS, с возможностью перехвата управления загрузкой ОС и получения прав доверенного пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
8.33
Угроза получения несанкционированного доступа к средствам управления персональными идентификаторов/учетными записями, в том числе с повышенными правами доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.34
Угроза получения доступа к данным в обход механизмов разграничения доступа, в том числе с повышенными правами доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.35
Угроза бесконтрольной передачи данных как внутри ИС, так и между ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.36
Угроза получения дополнительных данных, не предусмотренных технологией обработки
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.37
Угроза получения разными пользователями, лицами, обеспечивающими функционирование, доступа к данным и полномочиям, не предназначенными для данных лиц в связи с их должностными обязанностями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.38
Угроза предоставления прав доступа, не необходимых для исполнения должностных обязанностей и функционирования ИС, для совершения деструктивных действий
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.39
Отсутствие ограничения на количество неудачных попыток входа в информационную систему
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.40
Угроза использования (подключения) к открытому (незаблокированному) сеансу пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.41
Угроза использования ресурсов ИС до прохождения процедур идентификации и авторизации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.42
Угрозы несанкционированного подключения к ИС с использованием санкционированной сессии удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.43
Угроза подбора идентификационных данных для удаленного доступа к ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.44
Угроза использования слабостей/уязвимостей защиты протоколов удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.45
Угроза бесконтрольного использования технологий беспроводного доступа, в том числе с мобильных устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.46
Угроза получения доступа к ИС с использованием технологий беспроводного доступа, в том числе мобильных устройств без прохождения процедуры идентификации и авторизации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.47
Угроза получения доступа к ИС с использованием технологий беспроводного доступа, с неконтролируемых устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.48
Угроза несанкционированной автоматической передачи конфиденциальной информации на запросы сторонних информационных систем
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.49
Угроза получения несанкционированного доступа к средствам управления персональными идентификаторами/учетными записями, в том числе с повышенными правами доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.50
Угроза получения несанкционированного доступа к средствам управления средствами идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.51
Угроза перехвата идентифицирующих и аутентифицирующих данных в процессе идентификации и аутентификации пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.52
Угроза бесконтрольного доступа к информации неопределенным кругом лиц
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.53
Угроза получения доступа к данным, не предназначенным для пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.54
Угроза удаленного управления и использования периферийных устройств для получения информации или выполнения иных деструктивных действий
внешний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.55
Угроза модификации, подмены, удаления атрибутов безопасности (меток безопасности) при взаимодействии с иными информационными системами
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.56
Угроза использования технологий мобильного кода для совершения попыток несанкционированного доступа к ИС при использовании в ИС мобильных устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.57
Угроза использования встроенных в информационную систему недекларированных возможностей, скрытых каналов передачи информации в обход реализованных мер защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.58
Отсутствие отказоустойчивых централизованных средств управления учетными записями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.59
Отсутствие автоматического блокирования учетных записей по истечении их срока действия, в результате исчерпания попыток доступа к ИС, выявления попыток НСД
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.60
Угроза отсутствия необходимых методов управления доступом для разграничения прав доступа в соответствии с технологией обработки и угрозами безопасности информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.61
Угроза передачи информации разной степени конфиденциальности без разграничения информационных потоков
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.62
Угроза передачи информации без соблюдения атрибутов (меток) безопасности, связанных с передаваемой информацией
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.63
Отсутствие динамического анализа и управления информационными потоками в зависимости от состояния ИС, условий ее функционирования, изменений в технологии обработки передаваемых данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.64
Угроза обхода правил управления информационными потоками за счет манипуляций с передаваемыми данными
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.65
Угроза несанкционированного доступа к средствам управления информационными потоками
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.66
Угроза возложения функционально различных должностных обязанностей/ролей на одно должностное лицо
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.67
Угроза предоставления расширенных прав и привилегий пользователям, в том числе внешним
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.68
Отсутствие информирования пользователя о применении средств защиты информации и необходимости соблюдения установленных оператором правил и ограничений на работу с информацией, о предыдущем успешном доступе к ИС, о количестве успешных/неуспешных попыток доступа, об изменении сведений об учетной записи пользователя, о превышении числа параллельных сеансов доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.69
Отсутствие информирования администратора о превышении числа параллельных сеансов доступа пользователями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.70
Угроза использования одних и тех же учетных записей для параллельного доступа к ИС (с 2 и более) различных устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.71
Отсутствие блокирования сеанса пользователя (на мониторе пользователя не должна отображаться информация сеанса пользователя) после времени бездействия 5 минут
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.72
Угроза использования незавершенных сеансов пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.73
Угроза наличия удаленного доступа от имени привилегированных пользователей для администрирования ИС, системы защиты, в том числе с использованием технологий беспроводного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.74
Отсутствие автоматизированного мониторинга и контроля удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.75
Угроза использования уязвимых/незащищенных технологий удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.76
Угроза взаимодействия с иными информационными системами, не обеспеченными системой защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.77
Отсутствие механизмов автоматизированного контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.78
Отсутствие механизмов автоматизированного реагирования на несанкционированное изменение параметров настройки компонентов программного обеспечения, влияющих на безопасность информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.79
Отсутствие контроля за используемыми интерфейсами ввода/вывода
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.80
Угроза несанкционированного использования привилегированных функций мобильного устройства
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
9
Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИС/системы информационной безопасности ИС
9.1
Угроза внедрения системной избыточности
внутренний нарушитель со средним потенциалом
программное обеспечение, информационная система, ключевая система информационной инфраструктуры
9.2
Угроза передачи данных по скрытым каналам
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
9.3
Угроза включения в проект не испытанных достоверно компонентов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
9.4
Угроза ошибок при моделировании угроз и нарушителей информационной безопасности
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
9.5
Угроза внедрения системы защиты, не обеспечивающей нивелирования актуальных угроз и нарушителей информационной безопасности
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10
Угрозы ошибочных/деструктивных действий лиц
10.1
Угроза подмены действия пользователя путём обмана
внешний нарушитель со средним потенциалом
прикладное программное обеспечение, сетевое программное обеспечение
10.2
Угроза «фишинга»
внешний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
10.3
Реализация угроз с использованием возможности по непосредственному доступу к техническим и части программных средств ИС, СЗИ и СКЗИ в соответствии с установленными для них административными полномочиями
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.4
Внесение изменений в конфигурацию программных и технических средств в соответствии с установленными полномочиями, приводящими к отключению/частичному отключению ИС/модулей/компонентов/сегментов единой системы электронного документооборота и делопроизводства, СЗИ (в случае сговора с внешними нарушителями безопасности информации)
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.5
Создание неконтролируемых точек доступа (лазеек) в систему для удаленного доступа
к ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.6
Переконфигурирование СЗИ и СКЗИ для реализации угроз ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.7
Осуществление угроз с использованием локальных линий связи, систем электропитания и заземления
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.8
Хищение ключей шифрования, идентификаторов и известных паролей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.9
Внесение программно-аппаратных закладок в программного-аппаратные средства ИС, обеспечивающих съем информации, используя непосредственное подключение к техническим средствам обработки информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.10
Создание методов и средств реализации атак, а также самостоятельное проведение атаки
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.11
Ошибки при конфигурировании и обслуживании модулей/компонентов ИС
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.12
Создание ситуаций, препятствующих функционированию сети (остановка, сбой серверов; уничтожение и/или модификация программного обеспечения; создание множественных, ложных информационных сообщений)
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.13
Несанкционированный съем информации, блокирование работы отдельных пользователей, перестройка планов маршрутизации и политик доступа сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.14
Непреднамеренное разглашение ПДн лицам, не имеющим права доступа к ним
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.15
Нарушение правил хранения ключевой информации
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.16
Передача защищаемой информации по открытым каналам связи
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.17
Несанкционированная модификация/уничтожение информации легитимным пользователем
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.18
Копирование информации на незарегистрированный носитель информации, в том числе печать
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.19
Несанкционированное отключение средств защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.20
Угрозы вербовки (социальной инженерии)
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
11
Угрозы нарушения конфиденциальности
11.1
Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
11.2
Угроза обнаружения хостов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
11.3
Угроза определения типов объектов защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
11.4
Угроза определения топологии вычислительной сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
11.5
Угроза получения предварительной информации об объекте защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.6
Угроза исследования механизмов работы программы
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.7
Угроза исследования приложения через отчёты об ошибках
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.8
Угроза получения сведений о владельце беспроводного устройства
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.9
Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.10
Сканирование сети для изучения логики работы ИС, выявления протоколов, портов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.11
Анализ сетевого трафика для изучения логики работы ИС, выявления протоколов, портов, перехвата служебных данных (в том числе идентификаторов и паролей), их подмены
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.12
Применение специальных программ для выявления пароля (IP-спуффинг, разные виды перебора)
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.13
Угроза получения нарушителем сведений о структуре, конфигурации и настройках ИС и ее системы защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.14
Угроза получения нарушителем конфиденциальных сведений, обрабатываемых в ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.15
Угроза получения нарушителем идентификационных данных легальных пользователей ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.16
Разглашение сведений конфиденциального характера
внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.17
Угроза агрегирования данных, обрабатываемых с помощью мобильного устройства
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
12
Угрозы программно-математических воздействий
12.1
Угроза деструктивного изменения конфигурации/среды окружения программ
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, метаданные, объекты файловой системы, реестр
12.2
Угроза избыточного выделения оперативной памяти
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
аппаратное обеспечение, системное программное обеспечение, сетевое программное обеспечение
12.3
Угроза искажения вводимой и выводимой на периферийные устройства информации
внешний нарушитель с высоким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, аппаратное обеспечение
12.4
Угроза межсайтового скриптинга
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
12.5
Угроза межсайтовой подделки запроса
внешний нарушитель со средним потенциалом
сетевой узел, сетевое программное обеспечение
12.6
Угроза перехвата вводимой и выводимой на периферийные устройства информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
12.7
Угроза пропуска проверки целостности программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.8
Угроза заражения компьютера при посещении неблагонадёжных сайтов
внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
12.9
Угроза неправомерного шифрования информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
объект файловой системы
12.10
Угроза скрытного включения вычислительного устройства в состав бот-сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
12.11
Угроза распространения «почтовых червей»
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение
12.12
Угроза подмены резервной копии программного обеспечения BIOS
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
12.13
Угроза использования слабостей кодирования входных данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение
12.14
Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
12.15
Угроза искажения XML-схемы
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение
12.16
Угроза внедрения кода или данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.17
Угроза восстановления аутентификационной информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.18
Внедрение программных закладок
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.19
Угроза внедрения в ИС вредоносного программного обеспечения с устройств, подключаемых с использованием технологий беспроводного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.20
Применение специально созданных программных продуктов для НСД
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.21
Угроза внедрения через легитимные схемы информационного обмена между информационными системами вредоносного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.22
Отсутствие централизованной системы управления средствами антивирусной защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.23
Угроза внедрения вредоносного кода через рекламу, сервисы и контент
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.24
Угроза подмены программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.25
Угроза маскирования действий вредоносного кода
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.26
Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в информационно-телекоммуникационной сети «Интернет»
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.27
Угроза внедрения вредоносного кода в дистрибутив программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.28
Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования графика
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13
Угрозы, связанные с использованием облачных услуг
13.1
Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.2
Угроза злоупотребления доверием потребителей облачных услуг
внешний нарушитель с низким потенциалом,
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.3
Угроза конфликта юрисдикций различных стран
внешний нарушитель с низким потенциалом,
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.4
Угроза нарушения доступности облачного сервера
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.5
Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения
внешний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.6
Угроза недобросовестного исполнения обязательств поставщиками облачных услуг
внешний нарушитель с низким потенциалом
информационная система, сервер, носитель информации, метаданные, объекты файловой системы
13.7
Угроза незащищённого администрирования облачных услуг
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
облачная система, рабочая станция, сетевое программное обеспечение
13.8
Угроза некачественного переноса инфраструктуры в облако
внешний нарушитель с низким потенциалом
информационная система, иммигрированная в облако, облачная система
13.9
Угроза неконтролируемого роста числа виртуальных машин
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
облачная система, консоль управления облачной инфраструктурой, облачная инфраструктура
13.10
Угроза некорректной реализации политики лицензирования в облаке
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.11
Угроза неопределённости в распределении ответственности между ролями в облаке
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение
13.12
Угроза неопределённости ответственности за обеспечение безопасности облака
внешний нарушитель с низким потенциалом
облачная система
13.13
Угроза непрерывной модернизации облачной инфраструктуры
внутренний нарушитель со средним потенциалом
облачная инфраструктура
13.14
Угроза несогласованности политик безопасности элементов облачной инфраструктуры
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, облачная система
13.15
Угроза общедоступности облачной инфраструктуры
внешний нарушитель со средним потенциалом
объекты файловой системы, аппаратное обеспечение, облачный сервер
13.16
Угроза потери доверия к поставщику облачных услуг
внутренний нарушитель со средним потенциалом
объекты файловой системы, информационная система, иммигрированная в облако
13.17
Угроза потери и утечки данных, обрабатываемых в облаке
внутренний нарушитель с низким потенциалом
системное программное обеспечение, метаданные, объекты файловой системы
13.18
Угроза потери управления облачными ресурсами
внешний нарушитель с высоким потенциалом
сетевой трафик, объекты файловой системы
13.19
Угроза потери управления собственной инфраструктурой при переносе её в облако
внутренний нарушитель со средним потенциалом
информационная система, иммигрированная в облако, системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.20
Угроза привязки к поставщику облачных услуг
внутренний нарушитель с низким потенциалом
информационная система, иммигрированная в облако, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик, объекты файловой системы
13.21
Угроза приостановки оказания облачных услуг вследствие технических сбоев
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, аппаратное обеспечение, канал связи
13.22
Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, аппаратное обеспечение, канал связи
14
Угрозы, связанные с использованием технологий виртуализации
14.1
Угроза выхода процесса за пределы виртуальной машины
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, сетевой узел, носитель информации, объекты файловой системы, учётные данные пользователя, образ виртуальной машины
14.2
Угроза нарушения изоляции пользовательских данных внутри виртуальной машины
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
виртуальная машина, гипервизор
14.3
Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
образ виртуальной машины, сетевой узел, сетевое программное обеспечение, виртуальная машина
14.4
Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер
14.5
Угроза несанкционированного доступа к виртуальным каналам передачи
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение, сетевой трафик, виртуальные устройства
14.6
Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение
внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом
сервер, рабочая станция, виртуальная машина, гипервизор, машинный носитель информации, метаданные
14.7
Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
виртуальная машина
14.8
Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
виртуальная машина
14.9
Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
виртуальные устройства хранения, обработки и передачи данных
14.10
Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
виртуальные устройства хранения данных, виртуальные диски
14.11
Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
носитель информации, объекты файловой системы
14.12
Угроза ошибки обновления гипервизора
внутренний нарушитель с низким потенциалом
системное программное обеспечение, гипервизор
14.13
Угроза перехвата управления гипервизором
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, гипервизор, консоль управления гипервизором
14.14
Угроза перехвата управления средой виртуализации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.15
Нарушение доверенной загрузки виртуальных серверов ИС, перехват загрузки
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.16
Нарушение целостности конфигурации виртуальных серверов – подмена/искажение образов (данных и оперативной памяти)
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.17
Несанкционированный доступ к консоли управления виртуальной инфраструктурой
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.18
Несанкционированный доступ к виртуальному серверу ИС, в т. ч. несанкционированное сетевое подключение и проведение сетевых атак на виртуальный сервер ИС
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.19
Несанкционированный удаленный доступ к ресурсам гипервизора вследствие сетевых атак типа «переполнение буфера»
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.20
Угроза несанкционированного доступа к объектам виртуальной инфраструктуры без прохождения процедуры идентификации и аутентификации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.21
Угроза несанкционированного доступа к виртуальной инфраструктуре/компонентам виртуальной инфраструктуры/виртуальным машинам/объектам внутри виртуальных машин
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.22
Угроза отсутствия средств регистрации событий в виртуальной инфраструктуре
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
15
Угрозы, связанные с нарушением правил эксплуатации машинных носителей
15.1
Угроза несанкционированного восстановления удалённой защищаемой информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
машинный носитель информации
15.2
Угроза несанкционированного удаления защищаемой информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
метаданные, объекты файловой системы, реестр
15.3
Угроза утраты носителей информации
внутренний нарушитель с низким потенциалом
носитель информации
15.4
Угроза форматирования носителей информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.5
Повреждение носителя информации
внутренний нарушитель с низким потенциалом
носитель информации
15.6
Доступ к снятым с эксплуатации носителям информации (содержащим остаточные данные)
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.7
Угроза подключения к ИС неучтенных машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.8
Угроза подключения к ИС неперсонифицированных машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.9
Угроза несанкционированного копирования информации на машинные носители
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.10
Угроза несанкционированной модификации/удаления информации на машинных носителях
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.11
Угроза хищения машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.12
Угроза подмены машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.13
Угроза встраивания программно-аппаратных закладок в машинные носители
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.14
Угроза несанкционированного доступа к информации, хранящейся на машинном носителе
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.15
Угроза использования машинных носителей для хранения информации разных уровней конфиденциальности и целей обработки
внутренний нарушитель с низким потенциалом
носитель информации
15.16
Угроза использования неконтролируемых портов СВТ для вывода информации на сторонние машинные носители
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.17
Угроза передачи информации/фрагментов информации между пользователями, сторонними организациями при неполном уничтожении/стирании информации с машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.18
Угроза несанкционированного использования машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.19
Угроза несанкционированного выноса машинных носителей за пределы КЗ
внутренний нарушитель с низким потенциалом
носитель информации
16
Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования
16.1
Угроза внедрения вредоносного кода в BIOS
внутренний нарушитель с высоким потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
16.2
Угроза изменения компонентов системы
внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.3
Угроза исчерпания запаса ключей, необходимых для обновления BIOS
внешний нарушитель со средним потенциалом
микропрограммное обеспечение BIOS/UEFI
16.4
Угроза установки на мобильные устройства вредоносных/уязвимых программных продуктов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.5
Угроза запуска/установки вредоносного/шпионского/неразрешенного программного обеспечения и (или) обновлений программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.6
Установка программного обеспечения, содержащего известные уязвимости
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.7
Установка нелицензионного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.8
Угроза ошибочного запуска/установки программного обеспечения
внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.9
Угроза неправильной установки программного обеспечения
внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.10
Угроза автоматического запуска вредоносного/шпионского/неразрешенного программного обеспечения при запуске операционной системы и (или) обновлений программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.11
Угроза удаленного запуска/установки вредоносного/шпионского/неразрешенного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.12
Угроза несанкционированного запуска программного обеспечения в нерабочее время
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.13
Угроза использования уязвимых версий программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
17
Угрозы физического доступа к компонентам ИС
17.1
Угроза преодоления физической защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сервер, рабочая станция, носитель информации, аппаратное обеспечение
17.2
Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сервер, рабочая станция, носитель информации, аппаратное обеспечение
17.3
Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сервер, рабочая станция, носитель информации, аппаратное обеспечение
17.4
Угроза несанкционированного доступа к системам криптографической защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СКЗИ,
среда функционирования СКЗИ,
информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующую информацию СКЗИ
17.5
Угроза нарушения функционирования накопителя на жестких магнитных дисках и других систем хранения данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сервер, рабочая станция, носитель информации, аппаратное обеспечение
17.6
Угроза доступа к системам обеспечения, их повреждение
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системы обеспечения ИСПДн
17.7
Угроза нарушения функционирования кабельных линий связи, ТС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы,
сети передачи данных, не выходящие за пределы контролируемой зоны ИСПДн
17.8
Угроза несанкционированного доступа в КЗ
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
помещения, в которых обрабатываются ПДн посредством ИСПДн и располагаются компоненты ИСПДн,
помещения, в которых находятся ресурсы ИСПДн, имеющие отношение к криптографической защите ПДн
17.9
Отсутствие средств автоматизированного контроля доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
помещения, в которых обрабатываются ПДн посредством ИСПДн и располагаются компоненты ИСПДн,
помещения, в которых находятся ресурсы ИСПДн, имеющие отношение к криптографической защите ПДн
18
Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИС, микропрограммном обеспечении
18.1
Угроза анализа криптографических алгоритмов и их реализации
внешний нарушитель со средним потенциалом
метаданные, системное программное обеспечение
18.2
Угроза восстановления предыдущей уязвимой версии BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
18.3
Угроза деструктивного использования декларированного функционала BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
18.4
Угроза использования поддельных цифровых подписей BIOS
внешний нарушитель со средним потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
18.5
Угроза использования слабых криптографических алгоритмов BIOS
внешний нарушитель с высоким потенциалом
микропрограммное обеспечение BIOS/UEFI
18.6
Угроза отключения контрольных датчиков
внешний нарушитель с высоким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение
18.7
Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
носитель информации, микропрограммное обеспечение, аппаратное обеспечение
18.8
Угроза сбоя процесса обновления BIOS
внутренний нарушитель со средним потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI, каналы связи
18.9
Угроза установки уязвимых версий обновления программного обеспечения BIOS
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
микропрограммное обеспечение BIOS/UEFI
18.10
Угроза перехвата исключения/сигнала из привилегированного блока функций
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение
18.11
Угроза наличия механизмов разработчика
внутренний нарушитель со средним потенциалом
программное обеспечение, техническое средство
18.12
Угроза «спама» веб-сервера
внешний нарушитель с низким потенциалом
сетевое программное обеспечение
18.13
Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
сетевое оборудование
19
Угрозы, связанные с использованием сетевых технологий
19.1
Угроза заражения DNS-кеша
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
19.2
Угроза использования слабостей протоколов сетевого/локального обмена данными
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
19.3
Угроза неправомерных действий в каналах связи
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы
19.4
Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам
внешний нарушитель с высоким потенциалом
информационная система, аппаратное обеспечение
19.5
Угроза подмены доверенного пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
19.6
Угроза подмены субъекта сетевого доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
прикладное программное обеспечение, сетевое программное обеспечение, сетевой трафик
19.7
Угроза «фарминга»
внешний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.8
Угроза подключения к беспроводной сети в обход процедуры идентификации/аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.9
Угроза подмены беспроводного клиента или точки доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.10
Угроза деавторизации санкционированного клиента беспроводной сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.11
Угроза удаленного запуска приложений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.12
Угроза навязывания ложных маршрутов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.13
Угроза внедрения ложных объектов сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.14
Угроза проведения атак/попыток несанкционированного доступа на ИС с использованием протоколов сетевого доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.15
Угроза отсутствия механизмов реагирования (блокирования) атак/вторжений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.16
Угроза отсутствия системы анализа сетевого трафика при обмене данными между информационными системами на наличие атак/вторжений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.17
Угроза отсутствия системы анализа сетевого трафика между сегментами информационной системы на наличие атак/вторжений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.18
Угроза использования неактуальных версий сигнатур обнаружения атак
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.19
Угроза отсутствия централизованной системы управления средствами защиты от атак/вторжений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.20
Угроза использования слабостей/уязвимостей защиты протоколов удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.21
Угроза бесконтрольного использования технологий беспроводного доступа, в том числе с мобильных устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.22
Угроза подмены устройств, подключаемых к ИС с использованием технологии удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.23
Угроза использования неконтролируемых сетевых протоколов для модификации/перехвата управления информационной системой
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.24
Угроза перехвата, искажения, модификации, подмены, перенаправления трафика между разными категориями пользователей и средствами защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.25
Угроза подмены сетевых адресов, определяемых по сетевым именам
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.26
Угроза отсутствия проверки подлинности сетевых соединений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.27
Отсутствие подтверждения факта отправки/получения информации конкретными пользователями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.28
Угроза получения несанкционированного доступа при двунаправленной передаче информации между сегментами, информационными системами
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.29
Отсутствие контроля соединений между СВТ ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.30
Угроза несанкционированного доступа к средствам управления информационными потоками
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.31
Угроза отсутствия/неиспользования средств разделения информационных потоков, содержащих различные виды (категории) информации, а также отделения информации управления от пользовательской информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.32
Отсутствие средств анализа сетевого трафика на наличие вредоносного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.33
Угроза доступа к ИС с использованием беспроводного доступа из-за границ КЗ
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.34
Угроза несанкционированного использования системных и сетевых утилит
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.35
Угроза несанкционированного изменения параметров настройки средств защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.36
Угроза перехвата одноразовых паролей в режиме реального времени
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
20
Угрозы инженерной инфраструктуры
20.1
Угрозы сбоев в сети электропитания
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.2
Угроза выхода из строя ТС в результате нарушения климатических параметров работы
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.3
Угрозы нарушения схем электропитания
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.4
Угрозы связанные с отсутствием заземления/неправильным заземлением
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.5
Угроза отказа подсистемы обеспечения температурного режима
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.6
Угроза физического устаревания аппаратных компонентов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21
Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности
21.1
Угроза отсутствия системы регистрации событий информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.2
Угроза автоматического удаления/затирания событий информационной безопасности новыми событиями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.3
Угроза переполнения журналов информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.4
Угроза отсутствия централизованного управления подсистемы централизованного сбора событий информационной безопасности от различных программных и аппаратных продуктов, средств защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.5
Угроза неправильного отнесения событий, к событиям информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.6
Угроза отсутствия централизованной системы анализа журналов информационной безопасности от различных программных и аппаратных продуктов, средств защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.7
Угроза отключения журналов информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.8
Угроза модификации/удаления журнала информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.9
Угроза задержек при получении журналов информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.10
Угроза ошибок ведения журнала регистрации событий информационной безопасности, в том числе связанных с неправильными настройками времени
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.11
Угроза отсутствия необходимых сведений в журналах информационной безопасности для проведения проверки/расследования/анализа событий информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.12
Угроза отключения/отказа системы регистрации событий информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.13
Угроза несанкционированного изменения правил ведения журнала регистрации событий
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.14
Отсутствие оповещений (предупреждений) администратора о сбоях, критических событиях в работе системы регистрации событий информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22
Угрозы, связанные с контролем защищенности информационной системы
22.1
Угроза отсутствия контроля за уязвимостями ИС и компонентов ИС, наличием неразрешенного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.2
Угроза использования неактуальных версий баз данных уязвимостей средств анализа защищенности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.3
Угроза установки программного обеспечения/обновлений без проведения анализа уязвимостей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.4
Угроза отсутствия регулярного контроля за защищенностью ИС, в том числе средств защиты информации, с учетом новых угроз безопасности информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.5
Угроза отсутствия анализа изменения настроек ИС, компонентов ИС, в том числе средств защиты информации, на предмет появления уязвимостей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн, информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.6
Отсутствие журнала анализа защищенности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
23
Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
23.1
Угроза перехвата данных, передаваемых по вычислительной сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевой трафик
23.2
Угроза доступа/перехвата/изменения HTTP cookies
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
прикладное программное обеспечение, сетевое программное обеспечение
23.3
Угроза перехвата данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевой трафик
23.4
Угроза перехвата данных, передаваемых по сетям внешнего и международного информационного обмена
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
прикладное программное обеспечение, сетевое программное обеспечение
23.5
Угроза перехвата данных с сетевых портов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевой трафик
23.6
Угроза перехвата данных, передаваемых с использованием технологий беспроводного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевой трафик
_______________________
Приложение 3
к Перечню угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, экcплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
ТИПОВЫЕ ВОЗМОЖНОСТИ
нарушителей безопасности информации и направления атак
№
п/п
Возможности нарушителей безопасности информации и направления атак (соответствующие актуальные угрозы)
Актуальность использования (применения) для построения и реализации атак
Обоснование отсутствия
(при наличии)
1
Проведение атаки при нахождении за пределами контролируемой зоны
2
Проведение атаки при нахождении в пределах контролируемой зоны
3
Проведение атак на этапе эксплуатации средств криптографической защиты информации (далее также – СКЗИ) на документацию на СКЗИ и компоненты среды функционирования (далее также – СФ) и помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее также – СПТ), на которых реализованы СКЗИ и СФ
4
Получение в рамках предоставленных полномочий, а также в результате наблюдений сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы, сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы, и сведений о мерах по разграничению доступа в помещения, в которых находятся СПТ, на которых реализованы СКЗИ и СФ
5
Использование штатных средств информационных систем персональных данных (далее также – ИСПДн), ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
6
Физический доступ к СПТ, на которых реализованы СКЗИ и СФ
7
Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
8
Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения (далее также – ПО)
9
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
10
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ
11
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО
12
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ
13
Возможность воздействовать на любые компоненты СКЗИ и СФ
Примечание: незаполненные ячейки определяются в частных моделях угроз и нарушителя безопасности информации для каждой информационной системы персональных данных.
_____________
ПРАВИТЕЛЬСТВО УДМУРТСКОЙ РЕСПУБЛИКИ
ПОСТАНОВЛЕНИЕ
от 6 апреля 2018 г. № 103
ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ УГРОЗ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЭКСПЛУАТИРУЕМЫХ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ УДМУРТСКОЙ РЕСПУБЛИКИ, АДМИНИСТРАЦИИ ГЛАВЫ И ПРАВИТЕЛЬСТВА УДМУРТСКОЙ РЕСПУБЛИКИ И ПОДВЕДОМСТВЕННЫХ ИМ ОРГАНИЗАЦИЯХ
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях, Правительство Удмуртской Республики постановляет:
1. Утвердить прилагаемый Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях (далее – Перечень угроз).
2. Исполнительным органам государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики:
1) определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых ими при осуществлении соответствующих видов деятельности, в соответствии с Перечнем угроз;
2) обеспечить определение подведомственными им организациями угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых ими при осуществлении соответствующих видов деятельности, в соответствии с Перечнем угроз.
3. Рекомендовать иным государственным органам Удмуртской Республики, органам местного самоуправления муниципальных образований в Удмуртской Республике руководствоваться настоящим постановлением при определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности.
4. Контроль за исполнением настоящего постановления возложить на Министерство информатизации и связи Удмуртской Республики.
Председатель
Правительства Удмуртской Республики
Я.В. Семенов
УТВЕРЖДЁН
постановлением Правительства
Удмуртской Республики
от 6 апреля 2018 года № 103
ПЕРЕЧЕНЬ
угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
I. Общие положения
1. Настоящий перечень определяет угрозы безопасности персональных данных (далее также – УБ ПДн), актуальные при обработке персональных данных (далее также – ПДн) в информационных системах персональных данных (далее также – ИСПДн), эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики (далее также – Орган) и подведомственных им организациях (далее также – Организация) при осуществлении ими соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее также – Перечень УБ ПДн).
2. В настоящем Перечне УБ ПДн не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
3. Перечень УБ ПДн предназначен для Органов и Организаций при решении ими следующих задач:
1) определение УБ ПДн, актуальных при обработке ПДн в ИСПДн;
2) проведение анализа защищенности ИСПДн от УБ ПДн, актуальных при обработке ПДн в ИСПДн, в ходе выполнения мероприятий по информационной безопасности (защите информации);
3) осуществление модернизации системы защиты ПДн;
4) проведение мероприятий по минимизации и (или) нейтрализации УБ ПДн;
5) предотвращение несанкционированного воздействия на технические средства ИСПДн;
6) осуществление контроля за обеспечением уровня защищенности ПДн.
4. При определении УБ ПДн, актуальных при обработке ПДн в информационных системах персональных данных, эксплуатируемых в Органах и Организациях (далее также – актуальная УБ ПДн), и совокупности предположений о возможностях нарушителя, которые могут использоваться при создании, подготовке и проведении атак, Органы и Организации с учетом категории ИСПДн, условий и особенностей функционирования ИСПДн, характера и способов обработки ПДн в ИСПДн применяют:
1) группы актуальных УБ ПДн в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях, приведенные в приложении 1 к настоящему Перечню УБ ПДн;
2) расширенный перечень угроз безопасности персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях, приведенный в приложении 2 к настоящему Перечню УБ ПДн;
3) типовые возможности нарушителей безопасности информации и направления атак, приведенные в приложении 3 к настоящему Перечню УБ ПДн.
5. Определение требований к системе защиты информации ИСПДн и выбор средств защиты информации для системы защиты персональных данных с учетом УБ ПДн, определенных в качестве актуальных при обработке ПДн в ИСПДн, осуществляется оператором в соответствии с нормативными правовыми актами, принятыми федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в соответствии с законодательством.
6. В настоящем Перечне УБ ПДн дано описание:
1) категорий ИСПДн как объектов защиты;
2) объектов, защищаемых при определении УБ ПДн в ИСПДн;
3) возможных источников УБ ПДн, обрабатываемых в ИСПДн;
4) возможных видов неправомерных действий и деструктивных воздействий на ПДн в ИСПДн;
5) основных способов реализации УБ ПДн.
7. Список используемых сокращений:
ЕЗСПД – Единая защищенная сеть передачи данных государственных органов Удмуртской Республики, функционирующая в соответствии с постановлением Правительства Удмуртской Республики от 16 апреля 2012 года № 169 «Об утверждении Положения о Единой защищенной сети передачи данных государственных органов Удмуртской Республики». Подключение к данной сети ее участников осуществляется с применением сертифицированных аппаратно-программных комплексов шифрования «VipNetCoordinator»;
ЗСПД – защищенные сети персональных данных Органов и Организаций, функционирующих для обеспечения их деятельности на территории Удмуртской Республики. Подключение к данным сетям их участников осуществляется с применением сертифицированных аппаратно-программных комплексов шифрования «VipNetCoordinator» и программных комплексов шифрования «VipNetClient»;
СВТ – средства вычислительной техники;
НСД – несанкционированный доступ;
НДВ – недекларированные возможности;
СПО – системное программное обеспечение;
ППО – прикладное программное обеспечение;
СЗИ – средства защиты информации;
СКЗИ – средства криптографической защиты информации;
ВЧ – высокочастотный;
ТС – технические средства;
ВТСС – вспомогательные технические средства;
ИВК – информационно-вычислительный комплекс;
ИС – информационная система;
ПЭМИН – побочное электромагнитное излучение;
ПАК – программно-аппаратный комплекс;
КЗ – контролируемая зона.
II. Владельцы и операторы информационных систем персональных
данных, сети передачи данных
8. Владельцами ИСПДн и их операторами являются федеральные государственные органы, государственные органы Удмуртской Республики, подведомственные им организации и иные организации.
9. Владельцы ИСПДн и их операторы расположены в пределах территории Российской Федерации.
10. Контролируемой зоной ИСПДн, функционирующих в Органах и Организациях, являются здания и отдельные помещения, принадлежащие им или находящиеся в их владении и (или) пользовании на законных основаниях. Все СВТ, участвующие в обработке ПДн, располагаются в пределах контролируемой зоны Органа (Организации). Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование оператора связи (провайдера), используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена и расположенное за пределами территории Органа (Организации).
11. Локальные вычислительные сети передачи данных в Органах (Организациях) организованы по топологии «звезда» и имеют подключения к следующим сетям:
1) внешним сетям (сетям провайдера), подключение к которым организовано посредством оптоволоконных каналов связи операторов связи (провайдеров) и (или) проводных каналов связи операторов связи (провайдеров);
2) сетям исполнительных органов государственной власти Удмуртской Республики и подведомственных им организаций, иных государственных органов и организаций, расположенных на территории Российской Федерации. Подключение к данным сетям осуществляется в соответствии с регламентами взаимодействия. Органы, Организации, иные государственные органы и организации имеют подключение к ЕЗСПД и ЗСПД посредством защищенных каналов связи;
3) иным сетям, взаимодействие с которыми организовано Органами (Организациями) с целью исполнения своих полномочий (функций).
12. Подключение к сетям связи общего пользования осуществляется Органами (Организациями) при условии соблюдения ими мер по обеспечению безопасности передаваемых персональных данных, в том числе мер по защите информационных систем персональных данных, средств и систем связи и передачи данных.
III. Объекты защиты и технологии обработки персональных данных в информационных системах персональных данных
13. При определении Органами (Организациями) УБ ПДн в конкретной ИСПДн в обязательном порядке защите подлежат следующие объекты, входящие в ИСПДн:
1) персональные данные, обрабатываемые в информационных системах персональных данных;
2) информационные ресурсы информационных систем персональных данных (файлы, базы данных и т. п.);
3) средства вычислительной техники, участвующие в обработке персональных данных посредством информационных систем персональных данных;
4) аппаратное обеспечение средств вычислительной техники, участвующих в обработке персональных данных посредством информационных систем персональных данных;
5) программное (микропрограммное, системное и прикладное) обеспечение СВТ, участвующих в обработке персональных данных посредством информационных систем персональных данных;
6) средства криптографической защиты информации;
7) среда функционирования СКЗИ;
8) информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;
9) документы, дела, журналы, картотеки, издания, технические документы, видео-, кино- и фотоматериалы, рабочие материалы и т. п., в которых отражена защищаемая информация, относящаяся к ИСПДн и их криптографической защите, включая документацию на СКЗИ и на технические и программные компоненты среды функционирования СКЗИ;
10) носители защищаемой информации, используемые в ИСПДн, в том числе в процессе криптографической защиты ПДн, носители ключевой, парольной и аутентифицирующей информации СКЗИ, а также порядок доступа к ним;
11) используемые ИСПДн каналы (линии) связи, включая кабельные системы;
12) сети передачи данных, не выходящие за пределы контролируемой зоны ИСПДн;
13) сетевой трафик;
14) помещения, в которых обрабатываются ПДн посредством ИСПДн и располагаются компоненты ИСПДн;
15) помещения, в которых находятся ресурсы ИСПДн, имеющие отношение к криптографической защите ПДн;
16) системы обеспечения ИСПДн.
14. В состав средств вычислительной техники, участвующих в обработке персональных данных посредством информационных систем персональных данных, входят:
1) автоматизированные рабочие места пользователей с различными уровнями доступа (правами) (далее также – АРМ), представляющие собой программно-аппаратные комплексы, позволяющие осуществлять доступ пользователей к информационным системам персональных данных и предназначенные для локальной обработки информации;
2) терминальные станции, представляющие собой программно- аппаратные комплексы, позволяющие осуществлять доступ пользователей к информационным системам персональных данных, но не предназначенные для локальной обработки информации;
3) серверное оборудование, представляющее собой программно- аппаратный комплекс в совокупности с программным и информационным обеспечением для его управления (общесистемное программное обеспечение (операционные системы физических серверов, виртуальных серверов, АРМ и т. п.), прикладное программное обеспечение (системы управления базами данных и т. п.), предназначенный для обработки и консолидированного хранения персональных данных информационных систем персональных данных. Серверное оборудование может быть представлено автоматизированными рабочими местами пользователей с различными уровнями доступа (правами), выполняющими функции сервера;
4) сетевое и телекоммуникационное оборудование, представляющее собой оборудование, используемое для информационного обмена между серверным оборудованием, АРМ и терминальными станциями (коммутаторы, маршрутизаторы и т. п.).
15. Ввод персональных данных в информационные системы персональных данных осуществляется как с бумажных носителей, так и с электронных носителей информации. Персональные данные выводятся из информационных систем персональных данных как в электронном, так и в бумажном виде с целью их использования, хранения и (или) передачи третьим лицам.
IV. Общее описание информационных систем персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях при осуществлении ими соответствующих видов деятельности
16. С целью исполнения своих полномочий (функций) Органами (Организациями) обрабатываются все категории ПДн. Состав ПДн, подлежащих обработке в конкретной ИСПДн, цели обработки, действия (операции), совершаемые с ПДн в ИСПДн, определяются Органом (Организацией), являющимся оператором ИСПДн. Обработка ПДн в ИСПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Перечень обрабатываемых ПДн в ИСПДн должен соответствовать целям их обработки. ИСПДн и ее компоненты должны быть расположены в пределах Российской Федерации.
ИСПД подразделяются на:
1) ИСПДн, оператором которым является сам Орган (Организация);
2) ИСПДн, эксплуатируемые Органом (Организацией), но не в качестве ее оператора.
Для всех категорий персональных данных, обрабатываемых в информационных системах персональных данных, за исключением общедоступных персональных данных, требуется обеспечить следующие характеристики безопасности: конфиденциальность, целостность, доступность и подлинность информации. При обработке общедоступных персональных данных требуется обеспечить следующие характеристики безопасности: целостность, доступность и подлинность информации.
17. Информационные системы персональных данных, эксплуатируемые в Органах (Организациях) при осуществлении ими соответствующих видов деятельности, в зависимости от технологии обработки персональных данных, состава персональных данных и целей их обработки подразделяются на:
1) информационно-справочные;
2) сегментные;
3) региональные;
4) ведомственные;
5) служебные.
V. Информационно-справочные системы персональных данных
18. Информационно-справочные ИСПДн используются для официального доведения любой информации до определенного или неопределенного круга лиц, при этом факт доведения такой информации не порождает правовых последствий, однако может являться обязательным в соответствии с законодательством.
19. К основным информационно-справочным ИСПДн относятся:
1) официальные порталы (сайты) Органов (Организаций);
2) информационные порталы (сайты), которые ведутся конкретным Органом (Организацией) и посвящаются определенному проекту и (или) мероприятию, проводимому на территории Удмуртской Республики (далее также – информационные порталы (сайты);
3) закрытые порталы для нескольких групп участников Органов (Организаций);
4) Региональный портал государственных и муниципальных услуг Удмуртской Республики.
20. Официальные порталы (сайты) Органов (Организаций).
ИСПДн содержат сведения о деятельности Органов (Организаций), в том числе сведения, подлежащие обязательному опубликованию в соответствии с законодательством.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн может осуществляться посредством Веб-интерфейса сотрудниками государственного органа или организации и иными физическими лицами. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники государственного органа или организации, являющихся оператором ИСПДн, и иные физические лица.
ИСПДн по структуре являются функционирующими в контролируемой зоне Органа (Организации) (локальными) и (или) на серверном оборудовании государственных органов и организаций в пределах их контролируемых зон, и (или) на вычислительных ресурсах облачного провайдера.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
21. Информационные порталы (сайты).
ИСПДн содержат сведения о мероприятиях, проводимых Органами (Организациями) в соответствии с функциями и полномочиями Органов (Организаций).
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется посредством Веб-интерфейса сотрудниками государственного органа или организации, являющихся оператором ИСПДн, и иными физическими лицами. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники государственного органа или организации, являющихся оператором ИСПДн, и иные физические лица.
ИСПДн по структуре являются функционирующими в контролируемой зоне Органа (Организации) (локальными) и (или) на серверном оборудовании государственных органов и организаций в пределах их контролируемых зон, и (или) на вычислительных ресурсах облачного провайдера.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
22. Закрытые порталы для нескольких групп участников Органов (Организаций).
ИСПДн содержат сведения, предоставляемые ограниченному кругу лиц из числа Органов и (или) Организаций в соответствии с функциями и полномочиями Органов (Организаций).
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) посредством Веб-интерфейса в соответствии с предоставленными правами. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
К субъектам, персональные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органов (Организаций).
ИСПДн по структуре являются функционирующими в контролируемой зоне Органа (Организации) (локальными) и (или) на серверном оборудовании государственного органа или организации в пределах их контролируемых зон, и (или) на вычислительных ресурсах облачного провайдера.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Средства вычислительной техники, участвующие в обработке:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
23. Региональный портал государственных и муниципальных услуг Удмуртской Республики.
ИСПДн содержат социально значимую информацию и сведения, необходимые для получения гражданами государственных и муниципальных услуг в электронном виде.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций) и иными физическими лицами в режиме Веб-интерфейса.
ПДн обрабатываются в деперсонифицированном (обезличенном) виде. Запрашиваемые данные не позволяют однозначно идентифицировать субъекта ПДн без использования сторонних баз данных. После получения запрашиваемых данных ИСПДн для получения ответа на запрос субъекта ПДн передает его данные по закрытым каналам связи в ИСПДн государственных органов и организаций, в компетенцию которых входит предоставление информации по запросу субъекта. Ответ на запрос (сведения о ходе исполнения запроса) субъекта отображается в ИСПДн.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн относятся сотрудники государственного органа или организации, являющихся оператором ИСПДн, и иные физические лица.
Структура ИСПДн является функционирующей в контролируемой зоне Органа (Организации) (локальной) и (или) на серверном
оборудовании государственного органа или организации в пределах их контролируемых зон, и (или) на вычислительных ресурсах облачного провайдера.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
VI. Сегментные информационные системы персональных данных
24. Сегментные ИСПДн представляют собой сегменты федеральных информационных систем, которые создаются и эксплуатируются на уровне Удмуртской Республики на основании предоставляемых с федерального уровня рекомендаций (правовых, организационных, технических), и используются для сбора, обработки, свода данных на уровне Удмуртской Республики и передачи их на федеральный уровень, и наоборот, при этом цели и задачи создания (модернизации), эксплуатации данных информационных систем определяются на федеральном уровне. Сегментные ИСПДн предназначены для реализации полномочий федеральных органов власти и исполнения функций Органов (Организаций).
Обработке в ИСПДн могут подлежать все категории ПДн.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций) в специализированных программах и (или) посредством Веб-интерфейса, и в отдельных случаях физическими лицами в режиме Веб-интерфейса (с ограниченными правами доступа).
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся физические лица.
Структура ИСПДн является распределенной или локальной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с федерального уровня (федерального сегмента), между региональными сегментами ИСПДн (при наличии) и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) с использованием иных средств защиты информации, передаваемой по открытым каналам связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации), и передающее данные на центральный сегмент или напрямую на центральный сервер, либо на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или с нарочным);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на удаленном серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент, или на центральном сегменте).
ИСПДн, реализованные по технологии «тонкого клиента», подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля, и (или) электронного сертификата, и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) электронного сертификата, и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
VII. Региональные информационные системы персональных данных
25. Региональные ИСПДн создаются и эксплуатируются по решению Органа в интересах Органа (Органов) и (или) Организации (Организаций), при этом цели и задачи создания (модернизации), эксплуатации региональных ИСПДн, а также требования к ним определяются в решении Органа.
По выполняемым функциям ИСПДн подразделяются на:
1) интеграционные (система межведомственного электронного взаимодействия Удмуртской Республики (далее также – РСМЭВ);
2) многопрофильные (например, Система межведомственного электронного документооборота государственных органов Удмуртской Республики, Система исполнения регламентов Удмуртской Республики, автоматизированная информационная система многофункциональных центров предоставления государственных и муниципальных услуг Удмуртской Республики (АИС МФЦ);
3) ИСПДн для Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики.
26. ИСПДн интеграционные.
Интеграционные ИСПДн характеризуются отсутствием пользователей (кроме администраторов ИСПДн и администраторов безопасности ИСПДн). ИСПДн функционируют исключительно в целях интеграции и передачи данных между ИСПДн иных категорий.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) общедоступные;
3) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся физические лица.
Структура ИСПДн является локальной или распределенной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с ИСПДн федерального уровня и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) посредством ЕЗСПД и ЗСПД;
3) с использованием иных средств защиты информации, передаваемой по открытым каналам связи.
Средства вычислительной техники, используемые для обработки персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
27. ИСПДн многопрофильные.
Многопрофильные ИСПДн предназначены для централизованной автоматизации делопроизводства и документооборота, учета корреспонденции, обращений граждан, обеспечения доступа к электронным документам и т. п. в Органах (Организациях).
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) иные;
3) общедоступные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся физические лица.
Структура ИСПДн является локальной или распределенной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) подключенные посредством ЕЗСПД и ЗСПД;
2) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) посредством ЕЗСПД и ЗСПД;
2) с использованием сторонних СКЗИ.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
28. ИСПДн для Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики.
ИСПДн предназначены для автоматизации совместной деятельности Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики, в том числе деятельности, осуществление которой необходимо в соответствии с законодательством.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) общедоступные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики в специализированных программах в режиме Веб-интерфейса.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органов (Организаций), иных государственных органов и организаций на территории Удмуртской Республики.
Структура ИСПДн является локальной, функционирующей в контролируемой зоне Органа (Организации), иного государственного органа или организации на территории Удмуртской Республики.
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) посредством ЕЗСПД и ЗСПД;
3) с использованием сторонних СКЗИ.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
29. По архитектуре региональные ИСПДн подразделяются на:
1) сегментированные;
2) централизованные;
3) смешанные.
30. Сегментированные ИСПДн делятся на центральный и периферийный сегменты, функционирующие независимо.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
Периферийные сегменты являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. В состав периферийных сегментов входят АРМ, а также АРМ, выполняющие функции сервера, или серверное оборудование. Пользователи периферийных сегментов подключаются к расположенным в пределах контролируемой зоны АРМ, выполняющим функции сервера, или серверному оборудованию, осуществляющему консолидацию сведений на уровне периферийного сегмента, который, в свою очередь, передает полученные данные в центральный сегмент.
31. По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к АРМ, выполняющим функции сервера, или серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации) и передающему данные на центральный сегмент);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент).
ИСПДн, реализованные по технологии «тонкого клиента», подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
32. Централизованные ИСПДн делятся на центральный и периферийный сегменты.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
В состав периферийных сегментов входят только АРМ, которые являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. Пользователи периферийных сегментов подключаются напрямую к центральному сегменту и осуществляют обработку данных непосредственно на нем.
33. По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к центральному сегменту, или на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или с нарочным);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на центральном сегменте).
ИСПДн, построенные по технологии «тонкого клиента», подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля
2011 года № 63-ФЗ «Об электронной подписи».
34. Смешанные ИСПДн построены с одновременным применением сегментированных и централизованных архитектур. ИСПДн могут объединять в себе технологии обработки, характерные как для сегментированных ИСПДн, так и для централизованных ИСПДн.
VIII. Ведомственные информационные системы персональных данных
35. Ведомственные информационные системы персональных данных представляют собой информационные системы персональных данных, создаваемые и эксплуатируемые на основании решения Органа в целях реализации его полномочий и исполнения функций Органа и (или) подведомственных организаций в определенной отраслевой сфере деятельности.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) иные.
36. Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники оператора ИСПДн, иных государственных органов и организаций, а также иные физические лица.
Структура ИСПДн является распределенной или локальной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн между сегментами ИСПДн (при наличии) и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) посредством ЕЗСПД и ЗСПД;
3) с использованием сторонних СКЗИ.
Также обмен ПДн между сегментами ИСПДн (при наличии) и с иными ИСПДн может осуществляться посредством собственных корпоративных сетей Органа (Организации).
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) терминальная станция;
3) серверное оборудование;
4) сетевое и телекоммуникационное оборудование.
37. По архитектуре ведомственные ИСПДн подразделяются на:
1) сегментированные;
2) централизованные;
3) смешанные.
38. Сегментированные ИСПДн делятся на центральный и периферийный сегменты, функционирующие независимо.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
Периферийные сегменты являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. В состав периферийных сегментов входят АРМ, а также АРМ, выполняющие функции сервера, или серверное оборудование. Пользователи периферийных сегментов подключаются к расположенному в пределах контролируемой зоны АРМ, выполняющим функции сервера, или серверному оборудованию, осуществляющему консолидацию сведений на уровне периферийного сегмента, который в свою очередь передает полученные данные в центральный сегмент.
39. По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к автоматизированному рабочему месту, выполняющему функции сервера, или серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации) и передающему данные на центральный сегмент);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент).
ИСПДн, реализованные по технологии «тонкого клиента», подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля
2011 года № 63-ФЗ «Об электронной подписи».
Централизованные ИСПДн делятся на центральный и периферийный сегменты.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
В состав периферийных сегментов входят только АРМ, которые являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. Пользователи периферийных сегментов подключаются напрямую к центральному сегменту и осуществляют обработку данных непосредственно на центральном сегменте.
40. По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к центральному сегменту, или на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или с нарочным);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на центральном сегменте).
ИСПДн, реализованные по технологии тонкого клиента, подразделяются на:
1) реализованные посредством Веб-интерфейса с применением Веб-браузера и с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
2) реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля и (или) сертификата ключа проверки электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
41. Смешанные ИСПДн построены с одновременным применением сегментированных и централизованных архитектур. ИСПДн могут объединять в себе технологии обработки, характерные как для сегментированных ИСПДн, так и для централизованных ИСПДн.
IX. Служебные информационные системы персональных данных
42. Служебные ИСПДн создаются (эксплуатируются) по решению Органа (Организации) в интересах Органа (Организации), цели и задачи создания (модернизации), эксплуатации которых определяются Органом (Организацией), и используются для автоматизации определённой области деятельности или типовой деятельности, неспецифичной относительно полномочий конкретного Органа (Организации). Служебные ИСПДн предназначены для управления бизнес-процессами в Органе (Организации).
43. К основным служебным ИСПДн относятся, например:
1) ИСПДн бухгалтерского учета, управления финансами, пенсионного фонда и налоговых служб;
2) ИСПДн кадрового учета и управления персоналом;
3) ИСПДн поддерживающие.
44. ИСПДн бухгалтерского учета, управления финансами, пенсионного фонда и налоговых служб.
ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с ведением бухгалтерского учета, управлением финансами, осуществлением пенсионных отчислений и уплатой налогов.
Обработке в ИСПДн подлежат категории ПДн, указанные в абзаце четвертом пункта 5 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1118.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органа (Организации), являющегося оператором ИСПДн.
Структура ИСПДн является локальной, функционирующей в контролируемой зоне Органа (Организации). ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) с использованием сторонних СКЗИ.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
По технологии обработки ИСПДн подразделяются на:
1) построенные по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к базе данных, которая размещается на серверном сегменте (сервере/автоматизированном рабочем месте, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации);
2) построенные по технологии «тонкого клиента» (на рабочие места пользователей ИСПДн передается только графическая информация, при этом сама обработка данных осуществляется на удаленном серверном сегменте (сервере/автоматизированном рабочем месте, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации).
Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
45. ИСПДн кадрового учета и управления персоналом.
ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с ведением кадрового учета и управления персоналом.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) иные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных и (или) стандартных офисных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органа (Организации), являющегося оператором ИСПДн, и физические лица, имеющие трудовые отношения с Органом (Организацией) и (или) претендующими на замещение должностей в Органе (Организации).
Структура ИСПДн является локальной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) с использованием сторонних СКЗИ.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
По технологии обработки ИСПДн построены по технологии «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к базе данных, которая размещается на серверном сегменте (сервере/автоматизированном рабочем месте, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации). Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
46. ИСПДн поддерживающие.
ИСПДн предназначены для автоматизации деятельности Органов и Организаций, связанной с осуществлением ими (их сотрудниками) своих функций, полномочий и задач.
Категории ПДн, которые могут подлежать обработке в ИСПДн:
1) специальные;
2) иные;
3) общедоступные.
Режим обработки ПДн в ИСПДн является многопользовательским. ИСПДн предусматривают разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных и (или) стандартных офисных программах и (или) посредством Веб-интерфейса в соответствии с предоставленными правами.
К субъектам, персональные данные которых могут подлежать обработке в ИСПДн, относятся сотрудники Органа (Организации), являющегося оператором ИСПДн, и иные физические лица.
Структура ИСПДн является локальной, функционирующей в контролируемой зоне Органа (Организации).
ИСПДн подключены к сетям связи общего пользования и (или) сетям международного информационного обмена.
По типу подключения ИСПДн делятся на:
1) без подключения (передача ПДн осуществляется с использованием машинных носителей);
2) подключенные посредством ЕЗСПД и ЗСПД;
3) подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн не осуществляется.
Средства вычислительной техники, участвующие в обработке персональных данных:
1) автоматизированные рабочие места;
2) серверное оборудование;
3) сетевое и телекоммуникационное оборудование.
По технологии обработки ИСПДн подразделяются на:
1) построенные по принципу «толстого клиента» (на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к серверному сегменту (серверу/автоматизированному рабочему месту, выполняющему функцию сервера), располагающемуся в пределах контролируемой зоны Органа (Организации);
2) построенные на базе стандартного офисного программного обеспечения (ИСПДн представляет собой базу данных в формате стандартного офисного приложения, обрабатываемую и хранящуюся на АРМ);
3) построенные по Веб-технологии (пользователи осуществляют деятельность в ИСПДн посредством Веб-интерфейса, подключающегося к локальному Веб-серверу, располагающемуся в пределах контролируемой зоны Органа (Организации).
Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
X. Угрозы безопасности персональных данных, выявленные при функционировании информационных систем персональных данных
47. Источники УБ ПДн в ИСПДн.
Источниками УБ ПДн в ИСПДн выступают:
1) носитель вредоносной программы;
2) аппаратная закладка;
3) нарушитель.
48. Носитель вредоносной программы.
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер.
Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:
1) отчуждаемый носитель (дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый жесткий диск и т. п.);
2) встроенные носители информации (жесткие диски, микросхемы оперативной памяти, процессоры, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок (видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т. п.), микросхемы прямого доступа к памяти, шин передачи данных, портов ввода/вывода);
3) микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т. п.).
Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:
1) пакеты передаваемых по компьютерной сети сообщений;
2) файлы (текстовые, графические, исполняемые и т. д.).
49. Аппаратная закладка.
Потенциально может рассматриваться возможность применения аппаратных средств, предназначенных для регистрации вводимой в ИСПДн с клавиатуры АРМ информации (ПДн), например:
1) аппаратная закладка внутри клавиатуры;
2) аппаратная закладка для считывания данных с кабеля клавиатуры бесконтактным методом;
3) аппаратная закладка в виде устройства, включенного в разрыв кабеля;
4) аппаратная закладка внутри системного блока.
Ввиду отсутствия возможности неконтролируемого пребывания физических лиц в служебных помещениях, в которых размещены технические средства ИСПДн, или в непосредственной близости от них, возможность установки аппаратных закладок посторонними лицами отсутствует.
Существование данного источника УБ ПДн маловероятно также из-за несоответствия стоимости аппаратных закладок, сложности их скрытой установки и полученной в результате информации.
50. Нарушитель.
Под нарушителем безопасности информации понимается физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке в ИСПДн.
По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на три типа:
1) внешний нарушитель. Данный тип нарушителя не имеет права постоянного или имеет право разового (контролируемого) доступа в контролируемую зону, а также не имеет доступа к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ, или он ограничен и контролируется. Внешний нарушитель может реализовывать угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
2) внутренний нарушитель, имеющий доступ к ИСПДн. Данный тип нарушителя имеет право постоянного или периодического доступа на территорию КЗ, а также доступ к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ. Внутренний нарушитель, имеющий доступ к ИСПДн, может проводить атаки с использованием внутренней (локальной) сети передачи данных и непосредственно в ИСПДн;
3) внутренний нарушитель, не имеющий доступ к ИСПДн. Данный тип нарушителя имеет право постоянного или периодического доступа на территорию КЗ, но не имеет доступ к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ. Внутренний нарушитель, не имеющий доступ к ИСПДн, может проводить атаки с использованием внутренней (локальной) сети передачи данных.
51. Основные УБ ПДн в ИСПДн:
1) угрозы утечки информации по техническим каналам;
2) угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
3) угрозы нарушения доступности информации;
4) угрозы нарушения целостности информации;
5) угрозы НДВ в СПО и ППО;
6) угрозы, не являющиеся атаками;
7) угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
8) угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
9) угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
10) угрозы ошибочных/деструктивных действий лиц;
11) угрозы нарушения конфиденциальности;
12) угрозы программно-математических воздействий;
13) угрозы, связанные с использованием облачных услуг;
14) угрозы, связанные с использованием технологий виртуализации;
15) угрозы, связанные с нарушением правил эксплуатации машинных носителей;
16) угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
17) угрозы физического доступа к компонентам ИСПДн;
18) угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
19) угрозы, связанные с использованием сетевых технологий;
20) угрозы инженерной инфраструктуры;
21) угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
22) угрозы, связанные с контролем защищенности ИСПДн;
23) угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
XI. Меры, направленные на минимизацию угроз безопасности персональных данных в информационных системах персональных данных
52. При обработке ПДн в ИСПДн Органы (Организации) применяют правовые, организационные и технические меры, установленные законодательством, а также руководствуются следующими документами:
приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 года;
Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю 14 февраля 2008 года;
Методическими рекомендациями по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утвержденными Министерством здравоохранения и социального развития Российской Федерации, согласованными с Федеральной службой по техническому и экспортному контролю 22 декабря 2009 года;
Моделью угроз типовой медицинской информационной системы (МИС) типового лечебного профилактического учреждения (ЛПУ), утвержденной Министерством здравоохранения и социального развития Российской Федерации, согласованной с Федеральной службой по техническому и экспортному контролю 27 ноября 2009 года;
Моделью угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли, согласованной с Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и одобренной решением секции № 1 Научно-технического совета Министерства связи и массовых коммуникаций Российской Федерации «Научно-техническое и стратегическое развитие отрасли» от 21 апреля 2010 года № 2;
Руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация информационных систем и требования по защите информации», утвержденным решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года;
Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными решением Коллегии Государственной технической комиссии при Президенте Российской Федерации № 7.2 от 2 марта 2001 года;
Методическими рекомендациями по разработке нормативных правовых актов, определяющими угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденными руководством 8 Центра ФСБ России 31 марта 2015 года № 149/7/2/6-432;
Банком данных угроз безопасности, сформированным Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации.
53. Банк данных угроз безопасности, актуальный на 8 февраля 2017 года, при формировании частных моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных необходимо рассматривать с учетом дополнительных угроз безопасности персональных данных в актуальной версии Банка данных угроз безопасности на дату создания частной модели угроз безопасности.
54. Реализация правовых, организационных и технических мер, направленных на минимизацию УБ ПДн в ИСПДн, осуществляется специалистами по информационной безопасности (технической защите информации) Органов (Организаций), ответственными за планирование, организацию и реализацию мероприятий по обеспечению информационной безопасности в Органе (Организации).
____________________
Приложение 1
к Перечню угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, экcплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
АКТУАЛЬНЫЕ УГРОЗЫ
безопасности персональных данных в информационных системах персональных данных,
эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
№
п/п
Наименование информационных систем персональных данных
Актуальные угрозы безопасности персональных данных
1
Информационно-справочные информационные системы персональных данных
1.1
Официальные порталы (сайты) исполнительных органов государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организаций (далее – Органов (Организаций)
угрозы использования штатных средств с целью совершения несанкционированного доступа (далее также – НСД) к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы недекларированных возможностей (далее также – НДВ) в системном программном обеспечении (далее также – СПО) и прикладном программном обеспечении (далее также – ППО);
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, средствах защиты информации (далее также – СЗИ), средствах криптографической защиты информации (далее также – СКЗИ), аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
1.2
Информационные порталы (сайты)
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедуры установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
1.3
Закрытые порталы для нескольких групп участников Органов (Организаций)
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
1.4
Региональный портал государственных и муниципальных услуг Удмуртской Республики
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
2
Сегментные информационные системы персональных данных
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
3
Региональные информационные системы персональных данных
3.1
Интеграционные информационные системы персональных данных
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
3.2
Многопрофильные информационные системы персональных данных
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
3.3
Информационные системы персональных данных для Органов (Организаций)
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
4
Ведомственные информационные системы персональных данных
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
5
Служебные информационные системы персональных данных
угрозы утечки информации по техническим каналам;
угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
угрозы нарушения доступности информации;
угрозы нарушения целостности информации;
угрозы НДВ в СПО и ППО;
угрозы, не являющиеся атаками;
угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
угрозы ошибочных/деструктивных действий лиц;
угрозы нарушения конфиденциальности;
угрозы программно-математических воздействий;
угрозы, связанные с использованием облачных услуг*;
угрозы, связанные с использованием технологий виртуализации**;
угрозы, связанные с нарушением правил эксплуатации машинных носителей;
угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
угрозы физического доступа к компонентам ИСПДн;
угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
угрозы, связанные с использованием сетевых технологий;
угрозы инженерной инфраструктуры;
угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
угрозы, связанные с контролем защищенности ИСПДн;
угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
Примечание:
* – актуальны при использовании в информационной системе облачных услуг;
** – актуальны при использовании в информационной системе.
___________________
Приложение 2
к Перечню угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
РАСШИРЕННЫЙ ПЕРЕЧЕНЬ
угроз безопасности персональных данных
в информационных системах персональных данных, эксплуатируемых
в исполнительных органах государственной власти Удмуртской Республики, Администрации
Главы и Правительства Удмуртской Республики и подведомственных им организациях
№
п/п
Наименование угроз безопасности персональных данных в информационных системах персональных данных
Источники угроз персональных данных
Объект воздействия
1
Угрозы утечки информации по техническим каналам
1.1
Угрозы утечки акустической информации
1.1.1
Использование направленных (ненаправленных) микрофонов воздушной проводимости для съема акустического излучения информативного речевого сигнала
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются персональные данные (далее также – ПДн)
1.1.2
Использование «контактных микрофонов» для съема виброакустических сигналов
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.1.3
Использование «лазерных микрофонов» для съема виброакустических сигналов
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.1.4
Использование средств высокочастотного (далее также – ВЧ) навязывания для съема электрических сигналов, возникающих за счет «микрофонного эффекта» в технических средствах (далее также – ТС) обработки информации и вспомогательных технических средствах (далее также – ВТСС) (распространяются по проводам и линиям, выходящим за пределы служебных помещений)
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.1.5
Применение средств ВЧ-облучения для съема радиоизлучения, модулированного информативным сигналом, возникающего при непосредственном облучении ТС обработки информации и ВТСС ВЧ-сигналом
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.1.6
Применение акустооптических модуляторов на базе волоконно-оптической, находящихся в поле акустического сигнала («оптических микрофонов»)
внешний нарушитель с высоким потенциалом
помещения, в которых обрабатываются ПДн
1.2
Угрозы утечки видовой информации
1.2.1
Визуальный просмотр на экранах дисплеев и других средств отображения средств вычислительной техники (далее также – СВТ), информационно-вычислительных комплексов (далее также – ИВК), входящих в состав информационных систем (далее также – ИC)
внешний нарушитель с низким потенциалом
аппаратное обеспечение СВТ
1.2.2
Визуальный просмотр с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, ИВК, входящих в состав ИС
внешний нарушитель с высоким потенциалом
аппаратное обеспечение СВТ
1.2.3
Использование специальных электронных устройств съема видовой информации (видеозакладки)
внешний нарушитель с высоким потенциалом
аппаратное обеспечение СВТ
1.3
Угрозы утечки информации по каналам побочных электромагнитных излучений (далее также – ПЭМИН)
1.3.1
Применение специальных средств регистрации ПЭМИН от ТС и линий передачи информации программно-аппаратных комплексов, сканерных приемников, цифровых анализаторов спектра, селективных микровольтметров)
внешний нарушитель с высоким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы
1.3.2
Применение токосъемников для регистрации наводок информативных сигналов, обрабатываемых ТС, на цепи электропитания и линии связи, выходящие за пределы служебных помещений
внешний нарушитель с высоким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы,
сети электропитания
1.3.3
Применение специальных средств регистрации радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав ТС ИС, или при наличии паразитной генерации в узлах ТС
внешний нарушитель с высоким потенциалом
аппаратное обеспечение СВТ
1.3.4
Применение специальных средств регистрации радиоизлучений, формируемых в результате ВЧ-облучения ТС ИС, в которых проводится обработка информативных сигналов – параметрических каналов утечки
внешний нарушитель с высоким потенциалом
аппаратное обеспечение СВТ
2
Угрозы использования штатных средств ИС с целью совершения несанкционированного доступа (далее также – НСД) к информации
2.1
Угроза некорректного использования функционала программного обеспечения
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, аппаратное обеспечение
2.2
Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
2.3
Угроза несанкционированного изменения аутентификационной информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
2.4
Угроза несанкционированного использования привилегированных функций BIOS
внешний нарушитель с высоким потенциалом, внутренний нарушитель с низким потенциалом
аппаратное обеспечение, микропрограммное обеспечение BIOS/UEFI
2.5
Доступ в операционную среду (локальную операционную системы (далее также – ОС) отдельного ТС ИС) с возможностью выполнения НСД вызовом штатных процедур или запуска специально разработанных программ
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
3
Угрозы нарушения доступности информации
3.1
Угроза длительного удержания вычислительных ресурсов пользователями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, носитель информации, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
3.2
Угроза повреждения системного реестра
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
объекты файловой системы, реестр
3.3
Угроза приведения системы в состояние «отказ в обслуживании»
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
3.4
Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение
3.5
Угроза утраты вычислительных ресурсов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
3.6
Угроза вывода из строя/выхода из строя отдельных технических средств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
аппаратное обеспечение СВТ
3.7
Угроза вывода из строя незарезервированных технических/программных средств/каналов связи
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
аппаратное обеспечение СВТ, используемые информационными системами персональных данных (далее также – ИСПДн) каналы (линии) связи, включая кабельные системы
3.8
Угроза отсутствия актуальных резервных копий информации
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
3.9
Угроза потери информации в процессе ее обработки техническими и (или) программными средствами и при передаче по каналам связи
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
3.10
Угроза переполнения канала связи вследствие множества параллельных попыток авторизации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы
3.11
Угроза нехватки ресурсов ИС для выполнения штатных задач в результате обработки множества параллельных задач, выполняемых одной учетной записью
внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
3.12
Угроза вывода из строя информационной системы при подаче на интерфейсы информационного обмена «неожидаемой» информации
внутренний нарушитель с низким потенциалом
информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение
3.13
Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
3.14
Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети
внешний нарушитель со средним потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
3.15
Угроза нарушения технологического/производственного процесса из-за временны́х задержек, вносимых средством защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4
Угрозы нарушения целостности информации
4.1
Угроза нарушения целостности данных кеша
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение
4.2
Угроза некорректного задания структуры данных транзакции
внутренний нарушитель со средним потенциалом
сетевой трафик, база данных, сетевое программное обеспечение
4.3
Угроза переполнения целочисленных переменных
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
4.4
Угроза подмены содержимого сетевых ресурсов
внешний нарушитель с низким потенциалом
прикладное программное обеспечение, сетевое программное обеспечение, сетевой трафик
4.5
Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.6
Угроза сбоя обработки специальным образом изменённых файлов
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.7
Угроза отсутствия контроля целостности обрабатываемой в ИС информации, применяемого программного обеспечения, в том числе средств защиты информации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.8
Угроза отсутствия целостных резервных копий информации, программного обеспечения, средств защиты информации в случае реализации угроз информационной безопасности
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.9
Угроза отсутствия контроля за поступающими в информационную систему данными, в том числе незапрашиваемыми
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.10
Отсутствие средств централизованного управления за поступающими в информационную систему данными, в том числе незапрашиваемыми
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.11
Отсутствие автоматизированных фильтров, осуществляющих обработку поступающей в ИС информации
внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.12
Угроза доступа в ИС информации от неаутентифицированных серверов/пользователей
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.13
Угроза отсутствия контроля за данными, передаваемыми из информационной системы
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.14
Отсутствие резервного копирования информации, передаваемой из ИС
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.15
Угроза передачи из ИС недопустимой информации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.16
Угроза отсутствия контроля за данными, вводимыми в систему пользователями
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.17
Угроза ввода/передачи недостоверных/ошибочных данных
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.18
Угроза подмены используемых информационной системой файлов
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.19
Угроза модификации/удаления файлов журналов системного, прикладного ПО, средств защиты
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.20
Угроза установки/запуска модифицированного программного обеспечения и (или) модифицированных обновлений программного обеспечения
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.21
Угроза модификации/стирания/удаления данных системы регистрации событий информационной безопасности
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.22
Отсутствие регламента/графика проведения контроля целостности применяемых программных средств, в том числе средств защиты информации
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.23
Угроза отсутствия контроля целостности информации, обрабатываемой ИС, и ее структуры
внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.24
Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
4.25
Угроза несанкционированной модификации защищаемой информации
внешний нарушитель со средним потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр
5
Угрозы НДВ в СПО и ППО
5.1
Угроза перебора всех настроек и параметров приложения
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
5.2
Угроза возникновения ошибок функционирования системного ПО, реализация недекларированных возможностей системного ПО
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
5.3
Угроза использования встроенных недекларированных возможностей для получения несанкционированного доступа к ИС
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр
6
Угрозы, не являющиеся атаками
6.1
Угроза неверного определения формата входных данных, поступающих в хранилище больших данных
внутренний нарушитель с низким потенциалом
хранилище больших данных, метаданные
6.2
Угроза невозможности восстановления сессии работы на персональную электронно-вычислительную машину (далее – ПЭВМ) при выводе из промежуточных состояний питания
внутренний нарушитель с низким потенциалом
рабочая станция, носитель информации, системное программное обеспечение, метаданные, объекты файловой системы, реестр
6.3
Угроза исчерпания вычислительных ресурсов хранилища больших данных
внутренний нарушитель с низким потенциалом
хранилище больших данных, метаданные
6.4
Угроза неконтролируемого копирования данных внутри хранилища больших данных
внутренний нарушитель с низким потенциалом
хранилище больших данных, метаданные
6.5
Угроза неконтролируемого уничтожения информации хранилищем больших данных
внутренний нарушитель с низким потенциалом
хранилище больших данных, метаданные
6.6
Угроза выхода из строя/отказа отдельных технических, программных средств, каналов связи
внутренний нарушитель с низким потенциалом
аппаратное обеспечение СВТ,
используемые ИСПДн каналы (линии) связи, включая кабельные системы
7
Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации
7.1
Угроза аппаратного сброса пароля BIOS
внутренний нарушитель с низким потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
7.2
Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.3
Угроза обхода некорректно настроенных механизмов аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение
7.4
Угроза программного сброса пароля BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI, системное программное обеспечение
7.5
Угроза «кражи» учётной записи доступа к сетевым сервисам
внешний нарушитель с низким потенциалом
сетевое программное обеспечение
7.6
Угроза получения доступа к ИС, компонентам ИС, информации, обрабатываемой ИС без прохождения процедуры идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.7
Угроза получения доступа к ИС вследствие ошибок подсистемы идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.8
Угроза получения несанкционированного доступа в результате сбоев/ошибок подсистемы идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.9
Угроза получения несанкционированного доступа сторонними лицами, устройствами
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.10
Угроза отсутствия/слабости процедур аутентификации при доступе пользователей/устройств к ресурсам ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.11
Угрозы авторизации с использованием устаревших, но не отключённых учетных записей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.12
Угроза использования «слабых» методов идентификации и аутентификации пользователей, в том числе при использовании удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.13
Угроза применения только программных методов двухфакторной аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.14
Угроза использования долговременных паролей для подключения к ИС посредством удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.15
Угроза передачи аутентифицирующей информации по открытым каналам связи без использования криптографических средств защиты информации
внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.16
Угроза доступа к ИС неаутентифицированных устройств и пользователей
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.17
Угроза повторного использования идентификаторов в течение как минимум 1 года
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.18
Угроза использования идентификаторов, неиспользуемых более 45 дней
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.19
Угроза раскрытия используемых идентификаторов пользователя в публичном доступе
внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.20
Отсутствие управления идентификаторами внешних пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.21
Угроза использования «слабых»/предсказуемых паролей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.22
Отсутствие отказоустойчивой централизованной системы идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.23
Угроза использования пользователями идентичных идентификаторов в разных информационных системах
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.24
Угроза использования неподписанных программных средств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.25
Угроза запуска несанкционированных процессов и служб от имени системных пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.26
Угроза отсутствия регламента работы с персональными идентификаторами
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.27
Отсутствие в централизованной системе идентификации и аутентификации атрибутов, позволяющих однозначно определить внешних и внутренних пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.28
Угроза бесконтрольного доступа пользователей к процессу загрузки
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
7.29
Угроза подмены/модификации базовой системы ввода-вывода, программного обеспечения телекоммуникационного оборудования
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, метаданные, учётные данные пользователя
8
Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом
8.1
Угроза воздействия на программы с высокими привилегиями
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, виртуальная машина, сетевое программное обеспечение, сетевой трафик
8.2
Угроза доступа к защищаемым файлам с использованием обходного пути
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
объекты файловой системы
8.3
Угроза доступа к локальным файлам сервера при помощи URL
внешний нарушитель со средним потенциалом
сетевое программное обеспечение
8.4
Угроза загрузки нештатной операционной системы
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
8.5
Угроза изменения режимов работы аппаратных элементов компьютера
внутренний нарушитель с высоким потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
8.6
Угроза изменения системных и глобальных переменных
внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
8.7
Угроза использования альтернативных путей доступа к ресурсам
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, объекты файловой системы, прикладное программное обеспечение, системное программное обеспечение
8.8
Угроза использования информации идентификации/аутентификации, заданной по умолчанию
внешний нарушитель со средним потенциалом, внутренний нарушитель с низким потенциалом
средства защиты информации, системное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, программно-аппаратные средства со встроенными функциями защиты
8.9
Угроза использования механизмов авторизации для повышения привилегий
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
8.10
Угроза нарушения изоляции среды исполнения BIOS
внутренний нарушитель с низким потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
8.11
Угроза невозможности управления правами пользователей BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
8.12
Угроза неправомерного ознакомления с защищаемой информацией
внутренний нарушитель с низким потенциалом
аппаратное обеспечение, носители информации, объекты файловой системы
8.13
Угроза несанкционированного доступа к аутентификационной информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр, машинные носители информации
8.14
Угроза несанкционированного копирования защищаемой информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
объекты файловой системы, машинный носитель информации
8.15
Угроза несанкционированного редактирования реестра
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, использующее реестр, реестр
8.16
Угроза несанкционированного создания учётной записи пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение
8.17
Угроза несанкционированного управления буфером
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
8.18
Угроза несанкционированного управления синхронизацией и состоянием
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение
8.19
Угроза несанкционированного управления указателями
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
8.20
Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, аппаратное обеспечение
8.21
Угроза повышения привилегий
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.22
Угроза подбора пароля BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
8.23
Угроза удаления аутентификационной информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, микропрограммное обеспечение, учётные данные пользователя
8.24
Угроза «форсированного веб-браузинга»
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
8.25
Угроза подделки записей журнала регистрации событий
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.26
Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.27
Угроза перехвата привилегированного процесса
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.28
Угроза несанкционированного доступа к системе по беспроводным каналам
внешний нарушитель с высоким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.29
Угроза перехвата привилегированного потока
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.30
Угроза подделки записей журнала регистрации событий
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.31
Угроза эксплуатации цифровой подписи программного кода
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.32
Угроза доступа к информации и командам, хранящимся в BIOS, с возможностью перехвата управления загрузкой ОС и получения прав доверенного пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
8.33
Угроза получения несанкционированного доступа к средствам управления персональными идентификаторов/учетными записями, в том числе с повышенными правами доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.34
Угроза получения доступа к данным в обход механизмов разграничения доступа, в том числе с повышенными правами доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.35
Угроза бесконтрольной передачи данных как внутри ИС, так и между ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.36
Угроза получения дополнительных данных, не предусмотренных технологией обработки
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.37
Угроза получения разными пользователями, лицами, обеспечивающими функционирование, доступа к данным и полномочиям, не предназначенными для данных лиц в связи с их должностными обязанностями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.38
Угроза предоставления прав доступа, не необходимых для исполнения должностных обязанностей и функционирования ИС, для совершения деструктивных действий
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.39
Отсутствие ограничения на количество неудачных попыток входа в информационную систему
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.40
Угроза использования (подключения) к открытому (незаблокированному) сеансу пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.41
Угроза использования ресурсов ИС до прохождения процедур идентификации и авторизации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.42
Угрозы несанкционированного подключения к ИС с использованием санкционированной сессии удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.43
Угроза подбора идентификационных данных для удаленного доступа к ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.44
Угроза использования слабостей/уязвимостей защиты протоколов удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.45
Угроза бесконтрольного использования технологий беспроводного доступа, в том числе с мобильных устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.46
Угроза получения доступа к ИС с использованием технологий беспроводного доступа, в том числе мобильных устройств без прохождения процедуры идентификации и авторизации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.47
Угроза получения доступа к ИС с использованием технологий беспроводного доступа, с неконтролируемых устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.48
Угроза несанкционированной автоматической передачи конфиденциальной информации на запросы сторонних информационных систем
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.49
Угроза получения несанкционированного доступа к средствам управления персональными идентификаторами/учетными записями, в том числе с повышенными правами доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.50
Угроза получения несанкционированного доступа к средствам управления средствами идентификации и аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.51
Угроза перехвата идентифицирующих и аутентифицирующих данных в процессе идентификации и аутентификации пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.52
Угроза бесконтрольного доступа к информации неопределенным кругом лиц
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.53
Угроза получения доступа к данным, не предназначенным для пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.54
Угроза удаленного управления и использования периферийных устройств для получения информации или выполнения иных деструктивных действий
внешний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.55
Угроза модификации, подмены, удаления атрибутов безопасности (меток безопасности) при взаимодействии с иными информационными системами
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.56
Угроза использования технологий мобильного кода для совершения попыток несанкционированного доступа к ИС при использовании в ИС мобильных устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.57
Угроза использования встроенных в информационную систему недекларированных возможностей, скрытых каналов передачи информации в обход реализованных мер защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.58
Отсутствие отказоустойчивых централизованных средств управления учетными записями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.59
Отсутствие автоматического блокирования учетных записей по истечении их срока действия, в результате исчерпания попыток доступа к ИС, выявления попыток НСД
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.60
Угроза отсутствия необходимых методов управления доступом для разграничения прав доступа в соответствии с технологией обработки и угрозами безопасности информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.61
Угроза передачи информации разной степени конфиденциальности без разграничения информационных потоков
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.62
Угроза передачи информации без соблюдения атрибутов (меток) безопасности, связанных с передаваемой информацией
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.63
Отсутствие динамического анализа и управления информационными потоками в зависимости от состояния ИС, условий ее функционирования, изменений в технологии обработки передаваемых данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.64
Угроза обхода правил управления информационными потоками за счет манипуляций с передаваемыми данными
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.65
Угроза несанкционированного доступа к средствам управления информационными потоками
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.66
Угроза возложения функционально различных должностных обязанностей/ролей на одно должностное лицо
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.67
Угроза предоставления расширенных прав и привилегий пользователям, в том числе внешним
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.68
Отсутствие информирования пользователя о применении средств защиты информации и необходимости соблюдения установленных оператором правил и ограничений на работу с информацией, о предыдущем успешном доступе к ИС, о количестве успешных/неуспешных попыток доступа, об изменении сведений об учетной записи пользователя, о превышении числа параллельных сеансов доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.69
Отсутствие информирования администратора о превышении числа параллельных сеансов доступа пользователями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.70
Угроза использования одних и тех же учетных записей для параллельного доступа к ИС (с 2 и более) различных устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.71
Отсутствие блокирования сеанса пользователя (на мониторе пользователя не должна отображаться информация сеанса пользователя) после времени бездействия 5 минут
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.72
Угроза использования незавершенных сеансов пользователей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.73
Угроза наличия удаленного доступа от имени привилегированных пользователей для администрирования ИС, системы защиты, в том числе с использованием технологий беспроводного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.74
Отсутствие автоматизированного мониторинга и контроля удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.75
Угроза использования уязвимых/незащищенных технологий удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.76
Угроза взаимодействия с иными информационными системами, не обеспеченными системой защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.77
Отсутствие механизмов автоматизированного контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.78
Отсутствие механизмов автоматизированного реагирования на несанкционированное изменение параметров настройки компонентов программного обеспечения, влияющих на безопасность информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.79
Отсутствие контроля за используемыми интерфейсами ввода/вывода
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
8.80
Угроза несанкционированного использования привилегированных функций мобильного устройства
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
9
Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИС/системы информационной безопасности ИС
9.1
Угроза внедрения системной избыточности
внутренний нарушитель со средним потенциалом
программное обеспечение, информационная система, ключевая система информационной инфраструктуры
9.2
Угроза передачи данных по скрытым каналам
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
9.3
Угроза включения в проект не испытанных достоверно компонентов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
9.4
Угроза ошибок при моделировании угроз и нарушителей информационной безопасности
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
9.5
Угроза внедрения системы защиты, не обеспечивающей нивелирования актуальных угроз и нарушителей информационной безопасности
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10
Угрозы ошибочных/деструктивных действий лиц
10.1
Угроза подмены действия пользователя путём обмана
внешний нарушитель со средним потенциалом
прикладное программное обеспечение, сетевое программное обеспечение
10.2
Угроза «фишинга»
внешний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
10.3
Реализация угроз с использованием возможности по непосредственному доступу к техническим и части программных средств ИС, СЗИ и СКЗИ в соответствии с установленными для них административными полномочиями
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.4
Внесение изменений в конфигурацию программных и технических средств в соответствии с установленными полномочиями, приводящими к отключению/частичному отключению ИС/модулей/компонентов/сегментов единой системы электронного документооборота и делопроизводства, СЗИ (в случае сговора с внешними нарушителями безопасности информации)
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.5
Создание неконтролируемых точек доступа (лазеек) в систему для удаленного доступа
к ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.6
Переконфигурирование СЗИ и СКЗИ для реализации угроз ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.7
Осуществление угроз с использованием локальных линий связи, систем электропитания и заземления
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.8
Хищение ключей шифрования, идентификаторов и известных паролей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.9
Внесение программно-аппаратных закладок в программного-аппаратные средства ИС, обеспечивающих съем информации, используя непосредственное подключение к техническим средствам обработки информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.10
Создание методов и средств реализации атак, а также самостоятельное проведение атаки
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.11
Ошибки при конфигурировании и обслуживании модулей/компонентов ИС
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.12
Создание ситуаций, препятствующих функционированию сети (остановка, сбой серверов; уничтожение и/или модификация программного обеспечения; создание множественных, ложных информационных сообщений)
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.13
Несанкционированный съем информации, блокирование работы отдельных пользователей, перестройка планов маршрутизации и политик доступа сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.14
Непреднамеренное разглашение ПДн лицам, не имеющим права доступа к ним
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.15
Нарушение правил хранения ключевой информации
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.16
Передача защищаемой информации по открытым каналам связи
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.17
Несанкционированная модификация/уничтожение информации легитимным пользователем
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.18
Копирование информации на незарегистрированный носитель информации, в том числе печать
внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.19
Несанкционированное отключение средств защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
10.20
Угрозы вербовки (социальной инженерии)
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, информационная система
11
Угрозы нарушения конфиденциальности
11.1
Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
11.2
Угроза обнаружения хостов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
11.3
Угроза определения типов объектов защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
11.4
Угроза определения топологии вычислительной сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
11.5
Угроза получения предварительной информации об объекте защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.6
Угроза исследования механизмов работы программы
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.7
Угроза исследования приложения через отчёты об ошибках
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.8
Угроза получения сведений о владельце беспроводного устройства
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.9
Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.10
Сканирование сети для изучения логики работы ИС, выявления протоколов, портов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.11
Анализ сетевого трафика для изучения логики работы ИС, выявления протоколов, портов, перехвата служебных данных (в том числе идентификаторов и паролей), их подмены
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.12
Применение специальных программ для выявления пароля (IP-спуффинг, разные виды перебора)
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.13
Угроза получения нарушителем сведений о структуре, конфигурации и настройках ИС и ее системы защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.14
Угроза получения нарушителем конфиденциальных сведений, обрабатываемых в ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.15
Угроза получения нарушителем идентификационных данных легальных пользователей ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.16
Разглашение сведений конфиденциального характера
внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
11.17
Угроза агрегирования данных, обрабатываемых с помощью мобильного устройства
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик, прикладное программное обеспечение
12
Угрозы программно-математических воздействий
12.1
Угроза деструктивного изменения конфигурации/среды окружения программ
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, метаданные, объекты файловой системы, реестр
12.2
Угроза избыточного выделения оперативной памяти
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
аппаратное обеспечение, системное программное обеспечение, сетевое программное обеспечение
12.3
Угроза искажения вводимой и выводимой на периферийные устройства информации
внешний нарушитель с высоким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, аппаратное обеспечение
12.4
Угроза межсайтового скриптинга
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
12.5
Угроза межсайтовой подделки запроса
внешний нарушитель со средним потенциалом
сетевой узел, сетевое программное обеспечение
12.6
Угроза перехвата вводимой и выводимой на периферийные устройства информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
12.7
Угроза пропуска проверки целостности программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.8
Угроза заражения компьютера при посещении неблагонадёжных сайтов
внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
12.9
Угроза неправомерного шифрования информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
объект файловой системы
12.10
Угроза скрытного включения вычислительного устройства в состав бот-сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
12.11
Угроза распространения «почтовых червей»
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение
12.12
Угроза подмены резервной копии программного обеспечения BIOS
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
12.13
Угроза использования слабостей кодирования входных данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение
12.14
Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
12.15
Угроза искажения XML-схемы
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение
12.16
Угроза внедрения кода или данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.17
Угроза восстановления аутентификационной информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.18
Внедрение программных закладок
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.19
Угроза внедрения в ИС вредоносного программного обеспечения с устройств, подключаемых с использованием технологий беспроводного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.20
Применение специально созданных программных продуктов для НСД
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.21
Угроза внедрения через легитимные схемы информационного обмена между информационными системами вредоносного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.22
Отсутствие централизованной системы управления средствами антивирусной защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.23
Угроза внедрения вредоносного кода через рекламу, сервисы и контент
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.24
Угроза подмены программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.25
Угроза маскирования действий вредоносного кода
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.26
Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в информационно-телекоммуникационной сети «Интернет»
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.27
Угроза внедрения вредоносного кода в дистрибутив программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
12.28
Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования графика
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13
Угрозы, связанные с использованием облачных услуг
13.1
Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.2
Угроза злоупотребления доверием потребителей облачных услуг
внешний нарушитель с низким потенциалом,
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.3
Угроза конфликта юрисдикций различных стран
внешний нарушитель с низким потенциалом,
внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.4
Угроза нарушения доступности облачного сервера
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.5
Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения
внешний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.6
Угроза недобросовестного исполнения обязательств поставщиками облачных услуг
внешний нарушитель с низким потенциалом
информационная система, сервер, носитель информации, метаданные, объекты файловой системы
13.7
Угроза незащищённого администрирования облачных услуг
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
облачная система, рабочая станция, сетевое программное обеспечение
13.8
Угроза некачественного переноса инфраструктуры в облако
внешний нарушитель с низким потенциалом
информационная система, иммигрированная в облако, облачная система
13.9
Угроза неконтролируемого роста числа виртуальных машин
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
облачная система, консоль управления облачной инфраструктурой, облачная инфраструктура
13.10
Угроза некорректной реализации политики лицензирования в облаке
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.11
Угроза неопределённости в распределении ответственности между ролями в облаке
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение
13.12
Угроза неопределённости ответственности за обеспечение безопасности облака
внешний нарушитель с низким потенциалом
облачная система
13.13
Угроза непрерывной модернизации облачной инфраструктуры
внутренний нарушитель со средним потенциалом
облачная инфраструктура
13.14
Угроза несогласованности политик безопасности элементов облачной инфраструктуры
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, облачная система
13.15
Угроза общедоступности облачной инфраструктуры
внешний нарушитель со средним потенциалом
объекты файловой системы, аппаратное обеспечение, облачный сервер
13.16
Угроза потери доверия к поставщику облачных услуг
внутренний нарушитель со средним потенциалом
объекты файловой системы, информационная система, иммигрированная в облако
13.17
Угроза потери и утечки данных, обрабатываемых в облаке
внутренний нарушитель с низким потенциалом
системное программное обеспечение, метаданные, объекты файловой системы
13.18
Угроза потери управления облачными ресурсами
внешний нарушитель с высоким потенциалом
сетевой трафик, объекты файловой системы
13.19
Угроза потери управления собственной инфраструктурой при переносе её в облако
внутренний нарушитель со средним потенциалом
информационная система, иммигрированная в облако, системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
13.20
Угроза привязки к поставщику облачных услуг
внутренний нарушитель с низким потенциалом
информационная система, иммигрированная в облако, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик, объекты файловой системы
13.21
Угроза приостановки оказания облачных услуг вследствие технических сбоев
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, аппаратное обеспечение, канал связи
13.22
Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, аппаратное обеспечение, канал связи
14
Угрозы, связанные с использованием технологий виртуализации
14.1
Угроза выхода процесса за пределы виртуальной машины
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, сетевой узел, носитель информации, объекты файловой системы, учётные данные пользователя, образ виртуальной машины
14.2
Угроза нарушения изоляции пользовательских данных внутри виртуальной машины
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
виртуальная машина, гипервизор
14.3
Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
образ виртуальной машины, сетевой узел, сетевое программное обеспечение, виртуальная машина
14.4
Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер
14.5
Угроза несанкционированного доступа к виртуальным каналам передачи
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевое программное обеспечение, сетевой трафик, виртуальные устройства
14.6
Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение
внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом
сервер, рабочая станция, виртуальная машина, гипервизор, машинный носитель информации, метаданные
14.7
Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
виртуальная машина
14.8
Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
виртуальная машина
14.9
Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
виртуальные устройства хранения, обработки и передачи данных
14.10
Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
виртуальные устройства хранения данных, виртуальные диски
14.11
Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
носитель информации, объекты файловой системы
14.12
Угроза ошибки обновления гипервизора
внутренний нарушитель с низким потенциалом
системное программное обеспечение, гипервизор
14.13
Угроза перехвата управления гипервизором
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение, гипервизор, консоль управления гипервизором
14.14
Угроза перехвата управления средой виртуализации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.15
Нарушение доверенной загрузки виртуальных серверов ИС, перехват загрузки
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.16
Нарушение целостности конфигурации виртуальных серверов – подмена/искажение образов (данных и оперативной памяти)
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.17
Несанкционированный доступ к консоли управления виртуальной инфраструктурой
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.18
Несанкционированный доступ к виртуальному серверу ИС, в т. ч. несанкционированное сетевое подключение и проведение сетевых атак на виртуальный сервер ИС
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.19
Несанкционированный удаленный доступ к ресурсам гипервизора вследствие сетевых атак типа «переполнение буфера»
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.20
Угроза несанкционированного доступа к объектам виртуальной инфраструктуры без прохождения процедуры идентификации и аутентификации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.21
Угроза несанкционированного доступа к виртуальной инфраструктуре/компонентам виртуальной инфраструктуры/виртуальным машинам/объектам внутри виртуальных машин
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
14.22
Угроза отсутствия средств регистрации событий в виртуальной инфраструктуре
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
информационная система, системное программное обеспечение
15
Угрозы, связанные с нарушением правил эксплуатации машинных носителей
15.1
Угроза несанкционированного восстановления удалённой защищаемой информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
машинный носитель информации
15.2
Угроза несанкционированного удаления защищаемой информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
метаданные, объекты файловой системы, реестр
15.3
Угроза утраты носителей информации
внутренний нарушитель с низким потенциалом
носитель информации
15.4
Угроза форматирования носителей информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.5
Повреждение носителя информации
внутренний нарушитель с низким потенциалом
носитель информации
15.6
Доступ к снятым с эксплуатации носителям информации (содержащим остаточные данные)
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.7
Угроза подключения к ИС неучтенных машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.8
Угроза подключения к ИС неперсонифицированных машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.9
Угроза несанкционированного копирования информации на машинные носители
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.10
Угроза несанкционированной модификации/удаления информации на машинных носителях
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.11
Угроза хищения машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.12
Угроза подмены машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.13
Угроза встраивания программно-аппаратных закладок в машинные носители
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.14
Угроза несанкционированного доступа к информации, хранящейся на машинном носителе
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.15
Угроза использования машинных носителей для хранения информации разных уровней конфиденциальности и целей обработки
внутренний нарушитель с низким потенциалом
носитель информации
15.16
Угроза использования неконтролируемых портов СВТ для вывода информации на сторонние машинные носители
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.17
Угроза передачи информации/фрагментов информации между пользователями, сторонними организациями при неполном уничтожении/стирании информации с машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.18
Угроза несанкционированного использования машинных носителей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
носитель информации
15.19
Угроза несанкционированного выноса машинных носителей за пределы КЗ
внутренний нарушитель с низким потенциалом
носитель информации
16
Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования
16.1
Угроза внедрения вредоносного кода в BIOS
внутренний нарушитель с высоким потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
16.2
Угроза изменения компонентов системы
внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.3
Угроза исчерпания запаса ключей, необходимых для обновления BIOS
внешний нарушитель со средним потенциалом
микропрограммное обеспечение BIOS/UEFI
16.4
Угроза установки на мобильные устройства вредоносных/уязвимых программных продуктов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.5
Угроза запуска/установки вредоносного/шпионского/неразрешенного программного обеспечения и (или) обновлений программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.6
Установка программного обеспечения, содержащего известные уязвимости
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.7
Установка нелицензионного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.8
Угроза ошибочного запуска/установки программного обеспечения
внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.9
Угроза неправильной установки программного обеспечения
внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.10
Угроза автоматического запуска вредоносного/шпионского/неразрешенного программного обеспечения при запуске операционной системы и (или) обновлений программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.11
Угроза удаленного запуска/установки вредоносного/шпионского/неразрешенного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.12
Угроза несанкционированного запуска программного обеспечения в нерабочее время
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
16.13
Угроза использования уязвимых версий программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение
17
Угрозы физического доступа к компонентам ИС
17.1
Угроза преодоления физической защиты
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сервер, рабочая станция, носитель информации, аппаратное обеспечение
17.2
Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сервер, рабочая станция, носитель информации, аппаратное обеспечение
17.3
Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сервер, рабочая станция, носитель информации, аппаратное обеспечение
17.4
Угроза несанкционированного доступа к системам криптографической защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СКЗИ,
среда функционирования СКЗИ,
информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующую информацию СКЗИ
17.5
Угроза нарушения функционирования накопителя на жестких магнитных дисках и других систем хранения данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сервер, рабочая станция, носитель информации, аппаратное обеспечение
17.6
Угроза доступа к системам обеспечения, их повреждение
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системы обеспечения ИСПДн
17.7
Угроза нарушения функционирования кабельных линий связи, ТС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы,
сети передачи данных, не выходящие за пределы контролируемой зоны ИСПДн
17.8
Угроза несанкционированного доступа в КЗ
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
помещения, в которых обрабатываются ПДн посредством ИСПДн и располагаются компоненты ИСПДн,
помещения, в которых находятся ресурсы ИСПДн, имеющие отношение к криптографической защите ПДн
17.9
Отсутствие средств автоматизированного контроля доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
помещения, в которых обрабатываются ПДн посредством ИСПДн и располагаются компоненты ИСПДн,
помещения, в которых находятся ресурсы ИСПДн, имеющие отношение к криптографической защите ПДн
18
Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИС, микропрограммном обеспечении
18.1
Угроза анализа криптографических алгоритмов и их реализации
внешний нарушитель со средним потенциалом
метаданные, системное программное обеспечение
18.2
Угроза восстановления предыдущей уязвимой версии BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
18.3
Угроза деструктивного использования декларированного функционала BIOS
внутренний нарушитель с низким потенциалом
микропрограммное обеспечение BIOS/UEFI
18.4
Угроза использования поддельных цифровых подписей BIOS
внешний нарушитель со средним потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI
18.5
Угроза использования слабых криптографических алгоритмов BIOS
внешний нарушитель с высоким потенциалом
микропрограммное обеспечение BIOS/UEFI
18.6
Угроза отключения контрольных датчиков
внешний нарушитель с высоким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение
18.7
Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
носитель информации, микропрограммное обеспечение, аппаратное обеспечение
18.8
Угроза сбоя процесса обновления BIOS
внутренний нарушитель со средним потенциалом
микропрограммное и
аппаратное обеспечение BIOS/UEFI, каналы связи
18.9
Угроза установки уязвимых версий обновления программного обеспечения BIOS
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
микропрограммное обеспечение BIOS/UEFI
18.10
Угроза перехвата исключения/сигнала из привилегированного блока функций
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
системное программное обеспечение
18.11
Угроза наличия механизмов разработчика
внутренний нарушитель со средним потенциалом
программное обеспечение, техническое средство
18.12
Угроза «спама» веб-сервера
внешний нарушитель с низким потенциалом
сетевое программное обеспечение
18.13
Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети
внешний нарушитель со средним потенциалом, внутренний нарушитель со средним потенциалом
сетевое оборудование
19
Угрозы, связанные с использованием сетевых технологий
19.1
Угроза заражения DNS-кеша
внешний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение, сетевой трафик
19.2
Угроза использования слабостей протоколов сетевого/локального обмена данными
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
системное программное обеспечение, сетевое программное обеспечение, сетевой трафик
19.3
Угроза неправомерных действий в каналах связи
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
используемые ИСПДн каналы (линии) связи, включая кабельные системы
19.4
Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам
внешний нарушитель с высоким потенциалом
информационная система, аппаратное обеспечение
19.5
Угроза подмены доверенного пользователя
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевое программное обеспечение
19.6
Угроза подмены субъекта сетевого доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
прикладное программное обеспечение, сетевое программное обеспечение, сетевой трафик
19.7
Угроза «фарминга»
внешний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.8
Угроза подключения к беспроводной сети в обход процедуры идентификации/аутентификации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.9
Угроза подмены беспроводного клиента или точки доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.10
Угроза деавторизации санкционированного клиента беспроводной сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.11
Угроза удаленного запуска приложений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.12
Угроза навязывания ложных маршрутов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.13
Угроза внедрения ложных объектов сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.14
Угроза проведения атак/попыток несанкционированного доступа на ИС с использованием протоколов сетевого доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.15
Угроза отсутствия механизмов реагирования (блокирования) атак/вторжений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.16
Угроза отсутствия системы анализа сетевого трафика при обмене данными между информационными системами на наличие атак/вторжений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.17
Угроза отсутствия системы анализа сетевого трафика между сегментами информационной системы на наличие атак/вторжений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.18
Угроза использования неактуальных версий сигнатур обнаружения атак
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.19
Угроза отсутствия централизованной системы управления средствами защиты от атак/вторжений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.20
Угроза использования слабостей/уязвимостей защиты протоколов удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.21
Угроза бесконтрольного использования технологий беспроводного доступа, в том числе с мобильных устройств
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.22
Угроза подмены устройств, подключаемых к ИС с использованием технологии удаленного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.23
Угроза использования неконтролируемых сетевых протоколов для модификации/перехвата управления информационной системой
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.24
Угроза перехвата, искажения, модификации, подмены, перенаправления трафика между разными категориями пользователей и средствами защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.25
Угроза подмены сетевых адресов, определяемых по сетевым именам
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.26
Угроза отсутствия проверки подлинности сетевых соединений
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.27
Отсутствие подтверждения факта отправки/получения информации конкретными пользователями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.28
Угроза получения несанкционированного доступа при двунаправленной передаче информации между сегментами, информационными системами
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.29
Отсутствие контроля соединений между СВТ ИС
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.30
Угроза несанкционированного доступа к средствам управления информационными потоками
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.31
Угроза отсутствия/неиспользования средств разделения информационных потоков, содержащих различные виды (категории) информации, а также отделения информации управления от пользовательской информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.32
Отсутствие средств анализа сетевого трафика на наличие вредоносного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.33
Угроза доступа к ИС с использованием беспроводного доступа из-за границ КЗ
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.34
Угроза несанкционированного использования системных и сетевых утилит
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.35
Угроза несанкционированного изменения параметров настройки средств защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
19.36
Угроза перехвата одноразовых паролей в режиме реального времени
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
рабочая станция, сетевое программное обеспечение, сетевой трафик
20
Угрозы инженерной инфраструктуры
20.1
Угрозы сбоев в сети электропитания
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.2
Угроза выхода из строя ТС в результате нарушения климатических параметров работы
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.3
Угрозы нарушения схем электропитания
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.4
Угрозы связанные с отсутствием заземления/неправильным заземлением
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.5
Угроза отказа подсистемы обеспечения температурного режима
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
20.6
Угроза физического устаревания аппаратных компонентов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21
Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности
21.1
Угроза отсутствия системы регистрации событий информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.2
Угроза автоматического удаления/затирания событий информационной безопасности новыми событиями
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.3
Угроза переполнения журналов информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.4
Угроза отсутствия централизованного управления подсистемы централизованного сбора событий информационной безопасности от различных программных и аппаратных продуктов, средств защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.5
Угроза неправильного отнесения событий, к событиям информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.6
Угроза отсутствия централизованной системы анализа журналов информационной безопасности от различных программных и аппаратных продуктов, средств защиты информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.7
Угроза отключения журналов информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.8
Угроза модификации/удаления журнала информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.9
Угроза задержек при получении журналов информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.10
Угроза ошибок ведения журнала регистрации событий информационной безопасности, в том числе связанных с неправильными настройками времени
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.11
Угроза отсутствия необходимых сведений в журналах информационной безопасности для проведения проверки/расследования/анализа событий информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.12
Угроза отключения/отказа системы регистрации событий информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.13
Угроза несанкционированного изменения правил ведения журнала регистрации событий
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
21.14
Отсутствие оповещений (предупреждений) администратора о сбоях, критических событиях в работе системы регистрации событий информационной безопасности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22
Угрозы, связанные с контролем защищенности информационной системы
22.1
Угроза отсутствия контроля за уязвимостями ИС и компонентов ИС, наличием неразрешенного программного обеспечения
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.2
Угроза использования неактуальных версий баз данных уязвимостей средств анализа защищенности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.3
Угроза установки программного обеспечения/обновлений без проведения анализа уязвимостей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.4
Угроза отсутствия регулярного контроля за защищенностью ИС, в том числе средств защиты информации, с учетом новых угроз безопасности информации
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.5
Угроза отсутствия анализа изменения настроек ИС, компонентов ИС, в том числе средств защиты информации, на предмет появления уязвимостей
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн, информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
22.6
Отсутствие журнала анализа защищенности
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
СВТ, участвующие в обработке ПДн,
ПДн, обрабатываемые в ИСПДн,
информационные ресурсы ИСПДн (файлы, базы данных и т. п.)
23
Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи
23.1
Угроза перехвата данных, передаваемых по вычислительной сети
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевой трафик
23.2
Угроза доступа/перехвата/изменения HTTP cookies
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
прикладное программное обеспечение, сетевое программное обеспечение
23.3
Угроза перехвата данных
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевой трафик
23.4
Угроза перехвата данных, передаваемых по сетям внешнего и международного информационного обмена
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
прикладное программное обеспечение, сетевое программное обеспечение
23.5
Угроза перехвата данных с сетевых портов
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевой трафик
23.6
Угроза перехвата данных, передаваемых с использованием технологий беспроводного доступа
внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом
сетевой узел, сетевой трафик
_______________________
Приложение 3
к Перечню угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, экcплуатируемых в исполнительных органах государственной власти Удмуртской Республики, Администрации Главы и Правительства Удмуртской Республики и подведомственных им организациях
ТИПОВЫЕ ВОЗМОЖНОСТИ
нарушителей безопасности информации и направления атак
№
п/п
Возможности нарушителей безопасности информации и направления атак (соответствующие актуальные угрозы)
Актуальность использования (применения) для построения и реализации атак
Обоснование отсутствия
(при наличии)
1
Проведение атаки при нахождении за пределами контролируемой зоны
2
Проведение атаки при нахождении в пределах контролируемой зоны
3
Проведение атак на этапе эксплуатации средств криптографической защиты информации (далее также – СКЗИ) на документацию на СКЗИ и компоненты среды функционирования (далее также – СФ) и помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее также – СПТ), на которых реализованы СКЗИ и СФ
4
Получение в рамках предоставленных полномочий, а также в результате наблюдений сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы, сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы, и сведений о мерах по разграничению доступа в помещения, в которых находятся СПТ, на которых реализованы СКЗИ и СФ
5
Использование штатных средств информационных систем персональных данных (далее также – ИСПДн), ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
6
Физический доступ к СПТ, на которых реализованы СКЗИ и СФ
7
Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
8
Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения (далее также – ПО)
9
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
10
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ
11
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО
12
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ
13
Возможность воздействовать на любые компоненты СКЗИ и СФ
Примечание: незаполненные ячейки определяются в частных моделях угроз и нарушителя безопасности информации для каждой информационной системы персональных данных.
_____________
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 25.07.2018 |
| Рубрики правового классификатора: | 120.030.060 Информация о гражданах (персональные данные), 020.010.050 Органы исполнительной власти субъектов Российской Федерации |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
