Основная информация

Дата опубликования: 08 мая 2020г.
Номер документа: RU64000202000736
Текущая редакция: 1
Статус нормативности: Нормативный
Субъект РФ: Саратовская область
Принявший орган: Правительство Саратовской области
Раздел на сайте: Нормативные правовые акты субъектов Российской Федерации
Тип документа: Постановления

Бесплатная консультация

У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:
Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732
Москва и Московская область: 8 (499) 350-55-06 доб. 192
Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749

Текущая редакция документа



ПРАВИТЕЛЬСТВО САРАТОВСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 08.05.2020 № 370-П

О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА САРАТОВСКОЙ ОБЛАСТИ ОТ 19 ФЕВРАЛЯ 2016 ГОДА № 60-П

На основании Устава (Основного Закона) Саратовской области Правительство Саратовской области ПОСТАНОВЛЯЕТ:

1. Внести в постановление Правительства Саратовской области от 19 февраля 2016 года № 60-П «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в органах исполнительной власти области, подведомственных им учреждениях и предприятиях» следующие изменения:

в приложении:

пункты 1.2, 1.3 изложить в следующей редакции:

«1.2. Актуальные угрозы безопасности содержат перечень актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) в органах исполнительной власти области, входящих в структуру органов исполнительной власти Саратовской области, утвержденную постановлением Губернатора Саратовской области от 8 ноября 2017 года № 393, подведомственных им учреждениях и предприятиях (далее – государственные органы). Актуальные угрозы безопасности также содержат совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак на ИСПДн, в случае применения в них средств криптографической защиты информации для обеспечения безопасности персональных данных. Настоящие Актуальные угрозы безопасности применяются на этапах создания, модернизации ИСПДн для определения и оценки угроз безопасности персональных данных, а также в ходе эксплуатации ИСПДн при периодическом пересмотре актуальности угроз безопасности персональных данных.

1.3. Угрозы безопасности персональных данных, обрабатываемых в ИСПДн, приведенные в Актуальных угрозах безопасности, подлежат адаптации в ходе разработки операторами ИСПДн частных моделей угроз безопасности информации. Адаптация Актуальных угроз безопасности направлена на уточнение перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в ИСПДн. В процессе этой работы проводится анализ структурно-функциональных характеристик конкретной ИСПДн, применяемых в ней информационных технологий и особенностей ее функционирования и осуществляется исключение угроз безопасности, которые непосредственно связаны с информационными технологиями, не используемыми в ИСПДн, или структурно-функциональными характеристиками, не свойственными ИСПДн. По результатам анализа делается вывод об отнесении ИСПДн к одному из видов ИСПДн, приведенных в пункте 1.6 настоящего документа.»;

пункт 1.6.2 изложить в следующей редакции:

«1.6.2. ИСПДн обеспечения специальной деятельности, предназначенные для автоматизации или информационной поддержки предоставления государственных услуг, исполнения государственных функций, предусмотренных нормативными правовыми актами Саратовской области в качестве полномочий конкретного государственного органа.»;

дополнить пунктами 1.7, 1.8 следующего содержания:

«1.7. Актуальные угрозы безопасности разработаны с использованием следующих документов:

Федерального закона Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

постановления Правительства Российской Федерации от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 года (далее – Базовая модель угроз безопасности);

методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года;

методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденных руководителем 8-го Центра ФСБ России 31 марта 2015 года № 149/7/2/6-432.

1.8. Источником данных об угрозах безопасности информации, на основе которых определяются Актуальные угрозы безопасности, являются:

банк данных угроз безопасности информации ФСТЭК России (http://bdu.fstec.ru, далее – Банк данных угроз);

Базовая модель угроз безопасности.»;

в пункте 2.3 слова «, управления кадровым резервом, проведения аттестации, повышения квалификации и других функций, связанных с управлением персоналом государственных органов. В ИСПДн управление персоналом обрабатываются ПДн сотрудников органа исполнительной власти, граждан, подавших сведения для участия в конкурсе на замещение вакантных должностей государственной гражданской службы и о включении в кадровый резерв, а также граждан, претендующих на замещение должностей руководителей подведомственных им учреждений и предприятий: фамилия, имя, отчество; дата и место рождения; адрес места жительства; паспортные данные; сведения для заполнения личных карточек работников формы № Т-2; сведения из трудовой книжки; дополнительный перечень информации, имеющей характер персональных данных работников» исключить;

в пункте 2.4 слова «В ИСПДн управление финансами обрабатываются: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес места жительства; номер телефона, идентификационный номер налогоплательщика (далее – ИНН), страховой номер индивидуального лицевого счета (СНИЛС), табельный номер, наименование должности, номер приказа и дата приема на работу (увольнения), номер лицевого счета для перечисления денежного содержания и иных выплат работнику; фамилия, имя, отчество, паспортные данные, места жительства, наименование должности, номер телефона, ИНН, банковские платежные реквизиты граждан, являющихся стороной гражданско-правовых договоров о выполнении работ, оказании услуг.» исключить;

пункт 3.8 признать утратившим силу;

в пункте 4.7 слова «Источники атак на объекты ИСПДн располагают обобщенными возможностями в соответствии с таблицей № 2.» заменить словами «В случае, если оператором ИСПДн принято решение о применении СКЗИ для обеспечения безопасности персональных данных в ИСПДн, то при определении угроз безопасности персональных данных, актуальных при обработке персональных данных в данной ИСПДн, оператор дополнительно формирует совокупность предположений о возможностях источников атак, которые могут использоваться при создании способов, подготовке и проведении атак на ИСПДн, в которых применяются СКЗИ. Источники атак на объекты ИСПДн располагают обобщенными возможностями в соответствии с таблицей № 2.»;

в пункте 4.8 таблицу № 3 изложить в следующей редакции:

«Таблица № 3

№ п/п

Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы)

Актуальность использо-вания (применения) для построения и реализации атак

Обоснование отсутствия актуальных угроз безопасности

1.1.

Проведение атаки при нахождении
в пределах контролируемой зоны

не актуально

проводятся работы по подбору персонала;

доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с контрольно-пропускным режимом;

представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;

сотрудники, являющиеся пользователями ИСПДн,
но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;

пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;

помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода;

утверждены правила доступа в помещения,
где располагаются СКЗИ, в рабочее и нерабочее время,
а также в нештатных ситуациях;

утвержден перечень лиц, имеющих право доступа
в помещения, где располагаются СКЗИ;

осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;

осуществляется регистрация и учет действий пользователей с ПДн;

осуществляется контроль целостности средств защиты;

на АРМ и серверах, на которых установлены СКЗИ, используются:

сертифицированные средства защиты информации
от несанкционированного доступа;

сертифицированные средства антивирусной защиты

1.2.

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ и компоненты СФ;

помещения, в которых находится совокупность программных
и технических элементов систем обработки данных, способных функционировать самостоятельно
или в составе других систем (далее – СВТ), на которых реализованы СКЗИ и СФ

не актуально

проводятся работы по подбору персонала;

доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с контрольно-пропускным режимом;

документация на СКЗИ хранится у ответственного
за СКЗИ в металлическом сейфе;

помещение, в которых располагаются документация
на СКЗИ, СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только
для санкционированного прохода;

утвержден перечень лиц, имеющих право доступа
в помещения

1.3.

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по обеспечению контролируемой зоны объектов,
в которых размещены ресурсы информационной системы;

сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ

актуально

1.4.

Использование штатных средств ИСПДн, ограниченное мерами, реализованными
в информационной системе, в которой используется СКЗИ, и направленными
на предотвращение и пресечение несанкционированных действий

актуально

2.1.

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ

не актуально

проводятся работы по подбору персонала;

доступ в контролируемую зону и помещения,
где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом;

помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми
с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только
для санкционированного прохода

2.2.

Возможность воздействовать
на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными
в информационной системе, в которой используется СКЗИ, и направленными
на предотвращение и пресечение несанкционированных действий

не актуально

проводятся работы по подбору персонала;

доступ в контролируемую зону и помещения,
где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом;

помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода;

представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ,
и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации

3.1.

Создание способов, подготовка
и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ,
и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО

не актуально

не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

высокая стоимость и сложность подготовки реализации возможности;

проводятся работы по подбору персонала;

доступ в КЗ и помещения, где располагается средство вычислительной техники (далее – СВТ), на которых реализованы СКЗИ и СФ, обеспечивается в соответствии
с контрольно-пропускным режимом;

помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок
и их открытие только для санкционированного прохода;

представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ,
и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;

осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;

осуществляется регистрация и учет действий пользователей;

на АРМ и серверах, на которых установлены СКЗИ, используются:

сертифицированные средства защиты информации
от несанкционированного доступа;

сертифицированные средства антивирусной защиты

3.2.

Проведение лабораторных исследований СКЗИ, используемых вне КЗ, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными
на предотвращение и пресечение несанкционированных действий

не актуально

не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

высокая стоимость и сложность подготовки реализации возможности

3.3.

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ,
в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ

не актуально

не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

высокая стоимость и сложность подготовки реализации возможности

4.1.

Создание способов, подготовка
и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО

не актуально

не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

высокая стоимость и сложность подготовки реализации возможности;

проводятся работы по подбору персонала;

доступ в КЗ и помещения, где располагается СВТ,
на которых реализованы СКЗИ и СФ, обеспечивается
в соответствии с контрольно-пропускным режимом;

помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок
и их открытие только для санкционированного прохода;

представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;

осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;

осуществляется регистрация и учет действий пользователей;

на АРМ и серверах, на которых установлены СКЗИ, используются:

сертифицированные средства защиты информации
от несанкционированного доступа;

сертифицированные средства антивирусной защиты

4.2.

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные
и программные компоненты СФ

не актуально

не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности

4.3.

Возможность воздействовать на любые компоненты СКЗИ и СФ

не актуально

не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности

»;

дополнить пунктом 5.12 следующего содержания:

«5.12. В случае обработки персональных данных в государственных информационных системах регионального масштаба угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (http://bdu.fstec.ru), ведение которого осуществляется ФСТЭК России. Для государственных информационных систем регионального масштаба актуальными являются следующие дополнительные угрозы безопасности информации, указанные в таблице № 7.

Таблица № 7

Иденти-

фикатор

Наименование угрозы безопасности информации

Актуальность угрозы безопасности

УБИ.1

Угроза автоматического распространения вредоносного кода в грид-системе

не актуально

УБИ.2

Угроза агрегирования данных, передаваемых
в грид-системе

не актуально

УБИ.3

Угроза анализа криптографических алгоритмов
и их реализации

не актуально

УБИ.4

Угроза аппаратного сброса пароля BIOS

актуально

УБИ.5

Угроза внедрения вредоносного кода в BIOS

не актуально

УБИ.6

Угроза внедрения кода или данных

актуально

УБИ.7

Угроза воздействия на программы с высокими привилегиями

актуально

УБИ.8

Угроза восстановления аутентификационной информации

актуально

УБИ.9

Угроза восстановления предыдущей уязвимой версии BIOS

актуально

УБИ.10

Угроза выхода процесса за пределы виртуальной машины

актуально

УБИ.11

Угроза деавторизации санкционированного клиента беспроводной сети

не актуально

УБИ.12

Угроза деструктивного изменения конфигурации/среды окружения программ

актуально

УБИ.13

Угроза деструктивного использования декларированного функционала BIOS

актуально

УБИ.14

Угроза длительного удержания вычислительных ресурсов пользователями

актуально

УБИ.15

Угроза доступа к защищаемым файлам
с использованием обходного пути

актуально

УБИ.16

Угроза доступа к локальным файлам сервера
при помощи URL

актуально

УБИ.17

Угроза доступа/перехвата/изменения HTTP cookies

актуально

УБИ.18

Угроза загрузки нештатной операционной системы

актуально

УБИ.19

Угроза заражения DNS-кеша

актуально

УБИ.20

Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг

актуально

УБИ.21

Угроза злоупотребления доверием потребителей облачных услуг

актуально

УБИ.22

Угроза избыточного выделения оперативной памяти

актуально

УБИ.23

Угроза изменения компонентов системы

актуально

УБИ.24

Угроза изменения режимов работы аппаратных элементов компьютера

актуально

УБИ.25

Угроза изменения системных и глобальных переменных

актуально

УБИ.26

Угроза искажения XML-схемы

актуально

УБИ.27

Угроза искажения вводимой и выводимой
на периферийные устройства информации

актуально

УБИ.28

Угроза использования альтернативных путей доступа к ресурсам

актуально

УБИ.29

Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами

не актуально

УБИ.30

Угроза использования информации идентификации/ аутентификации, заданной по умолчанию

актуально

УБИ.31

Угроза использования механизмов авторизации для повышения привилегий

актуально

УБИ.32

Угроза использования поддельных цифровых подписей BIOS

не актуально

УБИ.33

Угроза использования слабостей кодирования входных данных

актуально

УБИ.34

Угроза использования слабостей протоколов сетевого/локального обмена данными

актуально

УБИ.35

Угроза использования слабых криптографических алгоритмов BIOS

не актуально

УБИ.36

Угроза исследования механизмов работы программы

актуально

УБИ.37

Угроза исследования приложения через отчеты
об ошибках

актуально

УБИ.38

Угроза исчерпания вычислительных ресурсов хранилища больших данных

не актуально

УБИ.39

Угроза исчерпания запаса ключей, необходимых для обновления BIOS

актуально

УБИ.40

Угроза конфликта юрисдикций различных стран

не актуально

УБИ.41

Угроза межсайтового скриптинга

актуально

УБИ.42

Угроза межсайтовой подделки запроса

актуально

УБИ.43

Угроза нарушения доступности облачного сервера

актуально

УБИ.44

Угроза нарушения изоляции пользовательских данных внутри виртуальной машины

актуально

УБИ.45

Угроза нарушения изоляции среды исполнения BIOS

актуально

УБИ.46

Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия

актуально

УБИ.47

Угроза нарушения работоспособности грид-системы при нетипичной сетевой нагрузке

не актуально

УБИ.48

Угроза нарушения технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин

актуально

УБИ.49

Угроза нарушения целостности данных кеша

актуально

УБИ.50

Угроза неверного определения формата входных данных, поступающих в хранилище больших данных

не актуально

УБИ.51

Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания

актуально

УБИ.52

Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного
и программного обеспечения

актуально

УБИ.53

Угроза невозможности управления правами пользователей BIOS

актуально

УБИ.54

Угроза недобросовестного исполнения обязательств поставщиками облачных услуг

актуально

УБИ.55

Угроза незащищенного администрирования облачных услуг

актуально

УБИ.56

Угроза некачественного переноса инфраструктуры в облако

актуально

УБИ.57

Угроза неконтролируемого копирования данных внутри хранилища больших данных

не актуально

УБИ.58

Угроза неконтролируемого роста числа виртуальных машин

актуально

УБИ.59

Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов

актуально

УБИ.60

Угроза неконтролируемого уничтожения информации хранилищем больших данных

не актуально

УБИ.61

Угроза некорректного задания структуры данных транзакции

актуально

УБИ.62

Угроза некорректного использования прозрачного прокси-сервера за счет плагинов браузера

актуально

УБИ.63

Угроза некорректного использования функционала программного обеспечения

актуально

УБИ.64

Угроза некорректной реализации политики лицензирования в облаке

актуально

УБИ.65

Угроза неопределенности в распределении ответственности между ролями в облаке

актуально

УБИ.66

Угроза неопределенности ответственности
за обеспечение безопасности облака

актуально

УБИ.67

Угроза неправомерного ознакомления
с защищаемой информацией

актуально

УБИ.68

Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением

актуально

УБИ.69

Угроза неправомерных действий в каналах связи

актуально

УБИ.70

Угроза непрерывной модернизации облачной инфраструктуры

актуально

УБИ.71

Угроза несанкционированного восстановления удалённой защищаемой информации

актуально

УБИ.72

Угроза несанкционированного выключения
или обхода механизма защиты от записи в BIOS

актуально

УБИ.73

Угроза несанкционированного доступа к активному
и (или) пассивному виртуальному
и (или) физическому сетевому оборудованию
из физической и (или) виртуальной сети

актуально

УБИ.74

Угроза несанкционированного доступа
к аутентификационной информации

актуально

УБИ.75

Угроза несанкционированного доступа
к виртуальным каналам передачи

актуально

УБИ.76

Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети

актуально

УБИ.77

Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного
под виртуальное аппаратное обеспечение

актуально

УБИ.78

Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной
и (или) физической сети

актуально

УБИ.79

Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин

актуально

УБИ.80

Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной
и (или) физической сети

актуально

УБИ.81

Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы

не актуально

УБИ.82

Угроза несанкционированного доступа
к сегментам вычислительного поля

не актуально

УБИ.83

Угроза несанкционированного доступа к системе по беспроводным каналам

не актуально

УБИ.84

Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети

актуально

УБИ.85

Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации

актуально

УБИ.86

Угроза несанкционированного изменения аутентификационной информации

актуально

УБИ.87

Угроза несанкционированного использования привилегированных функций BIOS

актуально

УБИ.88

Угроза несанкционированного копирования защищаемой информации

актуально

УБИ.89

Угроза несанкционированного редактирования реестра

актуально

УБИ.90

Угроза несанкционированного создания учетной записи пользователя

актуально

УБИ.91

Угроза несанкционированного удаления защищаемой информации

актуально

УБИ.92

Угроза несанкционированного удаленного внеполосного доступа к аппаратным средствам

не актуально

УБИ.93

Угроза несанкционированного управления буфером

актуально

УБИ.94

Угроза несанкционированного управления синхронизацией и состоянием

не актуально

УБИ.95

Угроза несанкционированного управления указателями

актуально

УБИ.96

Угроза несогласованности политик безопасности элементов облачной инфраструктуры

не актуально

УБИ.97

Угроза несогласованности правил доступа
к большим данным

не актуально

УБИ.98

Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб

актуально

УБИ.99

Угроза обнаружения хостов

актуально

УБИ.100

Угроза обхода некорректно настроенных механизмов аутентификации

актуально

УБИ.101

Угроза общедоступности облачной инфраструктуры

актуально

УБИ.102

Угроза опосредованного управления группой программ через совместно используемые данные

актуально

УБИ.103

Угроза определения типов объектов защиты

актуально

УБИ.104

Угроза определения топологии вычислительной сети

актуально

УБИ.105

Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных

не актуально

УБИ.106

Угроза отказа в обслуживании системой хранения данных суперкомпьютера

не актуально

УБИ.107

Угроза отключения контрольных датчиков

не актуально

УБИ.108

Угроза ошибки обновления гипервизора

актуально

УБИ.109

Угроза перебора всех настроек и параметров приложения

актуально

УБИ.110

Угроза перегрузки грид-системы вычислительными заданиями

не актуально

УБИ.111

Угроза передачи данных по скрытым каналам

актуально

УБИ.112

Угроза передачи запрещенных команд на оборудование с числовым программным управлением

не актуально

УБИ.113

Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники

актуально

УБИ.114

Угроза переполнения целочисленных переменных

актуально

УБИ.115

Угроза перехвата вводимой и выводимой
на периферийные устройства информации

актуально

УБИ.116

Угроза перехвата данных, передаваемых
по вычислительной сети

актуально

УБИ.117

Угроза перехвата привилегированного потока

актуально

УБИ.118

Угроза перехвата привилегированного процесса

актуально

УБИ.119

Угроза перехвата управления гипервизором

актуально

УБИ.120

Угроза перехвата управления средой виртуализации

актуально

УБИ.121

Угроза повреждения системного реестра

актуально

УБИ.122

Угроза повышения привилегий

актуально

УБИ.123

Угроза подбора пароля BIOS

актуально

УБИ.124

Угроза подделки записей журнала регистрации событий

актуально

УБИ.125

Угроза подключения к беспроводной сети в обход процедуры аутентификации

не актуально

УБИ.126

Угроза подмены беспроводного клиента или точки доступа

не актуально

УБИ.127

Угроза подмены действия пользователя путем обмана

актуально

УБИ.128

Угроза подмены доверенного пользователя

актуально

УБИ.129

Угроза подмены резервной копии программного обеспечения BIOS

актуально

УБИ.130

Угроза подмены содержимого сетевых ресурсов

актуально

УБИ.131

Угроза подмены субъекта сетевого доступа

актуально

УБИ.132

Угроза получения предварительной информации об объекте защиты

актуально

УБИ.133

Угроза получения сведений о владельце беспроводного устройства

не актуально

УБИ.134

Угроза потери доверия к поставщику облачных услуг

актуально

УБИ.135

Угроза потери и утечки данных, обрабатываемых
в облаке

актуально

УБИ.136

Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных

не актуально

УБИ.137

Угроза потери управления облачными ресурсами

актуально

УБИ.138

Угроза потери управления собственной инфраструктурой при переносе ее в облако

актуально

УБИ.139

Угроза преодоления физической защиты

актуально

УБИ.140

Угроза приведения системы в состояние
«отказ в обслуживании»

актуально

УБИ.141

Угроза привязки к поставщику облачных услуг

актуально

УБИ.142

Угроза приостановки оказания облачных услуг вследствие технических сбоев

актуально

УБИ.143

Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации

актуально

УБИ.144

Угроза программного сброса пароля BIOS

актуально

УБИ.145

Угроза пропуска проверки целостности программного обеспечения

актуально

УБИ.146

Угроза прямого обращения к памяти вычислительного поля суперкомпьютера

не актуально

УБИ.147

Угроза распространения несанкционированно повышенных прав на всю грид-систему

не актуально

УБИ.148

Угроза сбоя автоматического управления системой разграничения доступа хранилища больших данных

не актуально

УБИ.149

Угроза сбоя обработки специальным образом измененных файлов

актуально

УБИ.150

Угроза сбоя процесса обновления BIOS

актуально

УБИ.151

Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL

не актуально

УБИ.152

Угроза удаления аутентификационной информации

актуально

УБИ.153

Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов

актуально

УБИ.154

Угроза установки уязвимых версий обновления программного обеспечения BIOS

актуально

УБИ.155

Угроза утраты вычислительных ресурсов

актуально

УБИ.156

Угроза утраты носителей информации

актуально

УБИ.157

Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации

актуально

УБИ.158

Угроза форматирования носителей информации

актуально

УБИ.159

Угроза «форсированного веб-браузинга»

актуально

УБИ.160

Угроза хищения средств хранения, обработки
и (или) ввода/вывода/передачи информации

актуально

УБИ.161

Угроза чрезмерного использования вычислительных ресурсов суперкомпьютера в ходе интенсивного обмена межпроцессорными сообщениями

не актуально

УБИ.162

Угроза эксплуатации цифровой подписи программного кода

не актуально

УБИ.163

Угроза перехвата исключения/сигнала
из привилегированного блока функций

актуально

УБИ.164

Угроза распространения состояния «отказ
в обслуживании» в облачной инфраструктуре

актуально

УБИ.165

Угроза включения в проект не достоверно испытанных компонентов

актуально

УБИ.166

Угроза внедрения системной избыточности

актуально

УБИ.167

Угроза заражения компьютера при посещении неблагонадежных сайтов

актуально

УБИ.168

Угроза «кражи» учетной записи доступа к сетевым сервисам

актуально

УБИ.169

Угроза наличия механизмов разработчика

актуально

УБИ.170

Угроза неправомерного шифрования информации

актуально

УБИ.171

Угроза скрытного включения вычислительного устройства в состав бот-сети

актуально

УБИ.172

Угроза распространения «почтовых червей»

актуально

УБИ.173

Угроза «спама» веб-сервера

актуально

УБИ.174

Угроза «фарминга»

актуально

УБИ.175

Угроза «фишинга»

актуально

УБИ.176

Угроза нарушения технологического/ производственного процесса из-за временны́х задержек, вносимых средством защиты

актуально

УБИ.177

Угроза неподтвержденного ввода данных оператором в систему, связанную с безопасностью

актуально

УБИ.178

Угроза несанкционированного использования системных и сетевых утилит

актуально

УБИ.179

Угроза несанкционированной модификации защищаемой информации

актуально

УБИ.180

Угроза отказа подсистемы обеспечения температурного режима

актуально

УБИ.181

Угроза перехвата одноразовых паролей в режиме реального времени

не актуально

УБИ.182

Угроза физического устаревания аппаратных компонентов

актуально

УБИ.183

Угроза перехвата управления автоматизированной системой управления технологическими процессами

не актуально

УБИ.184

Угроза агрегирования данных, обрабатываемых
с помощью мобильного устройства

не актуально

УБИ.185

Угроза несанкционированного изменения параметров настройки средств защиты информации

актуально

УБИ.186

Угроза внедрения вредоносного кода через рекламу, сервисы и контент

актуально

УБИ.187

Угроза несанкционированного воздействия
на средство защиты информации

актуально

УБИ.188

Угроза подмены программного обеспечения

актуально

УБИ.189

Угроза маскирования действий вредоносного кода

актуально

УБИ.190

Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет

актуально

УБИ.191

Угроза внедрения вредоносного кода в дистрибутив программного обеспечения

актуально

УБИ.192

Угроза использования уязвимых версий программного обеспечения

актуально

УБИ.193

Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика

актуально

УБИ.194

Угроза несанкционированного использования привилегированных функций мобильного устройства

не актуально

УБИ.195

Угроза удаленного запуска вредоносного кода
в обход механизмов защиты операционной системы

не актуально

УБИ.196

Угроза контроля вредоносной программой списка приложений, запущенных на мобильном устройстве

не актуально

УБИ.197

Угроза хищения аутентификационной информации из временных файлов cookie

актуально

УБИ.198

Угроза скрытной регистрации вредоносной программой учетных записей администраторов

актуально

УБИ.199

Угроза перехвата управления мобильного устройства при использовании виртуальных голосовых ассистентов

не актуально

УБИ.200

Угроза хищения информации с мобильного устройства при использовании виртуальных голосовых ассистентов

не актуально

УБИ.201

Угроза утечки пользовательских данных
при использовании функций автоматического заполнения аутентификационной информации
в браузере

актуально

УБИ.202

Угроза несанкционированной установки приложений на мобильные устройства

не актуально

УБИ.203

Угроза утечки информации с неподключенных
к сети Интернет компьютеров

не актуально

УБИ.204

Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров

не актуально

УБИ.205

Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защиты

актуально

УБИ.206

Угроза отказа в работе оборудования
из-за изменения геолокационной информации о нем

не актуально

УБИ.207

Угроза несанкционированного доступа к параметрам настройки оборудования за счет использования «мастер-кодов» (инженерных паролей)

не актуально

УБИ.208

Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники

актуально

УБИ.209

Угроза несанкционированного доступа
к защищаемой памяти ядра процессора

актуально

УБИ.210

Угроза нарушения работы информационной системы, вызванного обновлением используемого в ней программного обеспечения

не актуально

УБИ.211

Угроза использования непроверенных пользовательских данных при формировании конфигурационного файла, используемого программным обеспечениям администрирования информационных систем

актуально

УБИ.212

Угроза перехвата управления информационной системой

актуально

УБИ.213

Угроза обхода многофакторной аутентификации

не актуально

УБИ.214

Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации

актуально

УБИ.215

Угроза несанкционированного доступа к системе при помощи сторонних сервисов

актуально

УБИ.216

Угроза получения несанкционированного доступа к приложениям, установленным на Smart-картах

не актуально

УБИ.217

Угроза использования скомпрометированного доверенного источника обновлений программного обеспечения

актуально

».

2. Министерству информации и печати области опубликовать настоящее постановление в течение десяти дней со дня его подписания.

3. Настоящее постановление вступает в силу со дня его подписания.

Вице-губернатор Саратовской области –

Председатель Правительства

Саратовской области

А.М. Стрелюхин

Дополнительные сведения

Государственные публикаторы: Портал "Нормативные правовые акты в Российской Федерации" от 25.05.2020
Рубрики правового классификатора: 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030)

Вопрос юристу

Поделитесь ссылкой на эту страницу:

Новые публикации

Статьи и обзоры

Материалы под редакцией наших юристов
Статья

Что такое законодательная, исполнительная и судебная ветви власти? Анализируем устройство государственной системы.

Читать
Статья

Кто возглавляет исполнительную власть в РФ? Что включает в себя система целиком? Какими функциями и полномочиями она наделена?

Читать
Статья

Основная структура ветви законодательной власти - Федеральное собрание. Рассмотрим особенности и полномочия каждого подразделения.

Читать