Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Региональной службы по тарифам Ростовской области



РЕГИОНАЛЬНАЯ СЛУЖБА ПО ТАРИФАМ

РОСТОВСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

12.10.2017 № 48/1 г. Ростов-на-Дону

Об определении угроз безопасности персональных данных,

актуальных при обработке персональных данных в информационных системах

персональных данных Региональной службы по тарифам Ростовской области

             

              В соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Региональная служба по тарифам Ростовской области  постановляет:

1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационной системе персональных данных «Бухгалтерия» Региональной службы по тарифам Ростовской области согласно приложению № 1 к постановлению.

2. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационной системе персональных данных «Кадры» Региональной службы по тарифам Ростовской области согласно приложению № 2 к постановлению.

3. Постановление вступает в силу в установленном порядке.

И.о. руководителя

Региональной службы по тарифам

Ростовской области

Е.В. Воронцова

Приложение № 1

к постановлению

Региональной

службы по тарифам

Ростовской области

  от 12.10.2017 № 48/1

Угрозы безопасности персональных данных, актуальные при обработке персональных данных

в информационной системе персональных данных «Бухгалтерия» Региональной службы по тарифам Ростовской области

1.

Угроза внедрения кода или данных.

2.

Угроза восстановления аутентификационной информации.

3.

Угроза длительного удержания вычислительных ресурсов пользователями.

4.

Угроза доступа к защищаемым файлам с использованием обходного пути.

5.

Угроза доступа/перехвата/изменения HTTP cookies.

6.

Угроза заражения DNS-кеша.

7.

Угроза избыточного выделения оперативной памяти.

8.

Угроза использования альтернативных путей доступа к ресурсам.

9.

Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами.

10.

Угроза использования механизмов авторизации для повышения привилегий.

11.

Угроза использования слабостей протоколов сетевого/локального обмена данными.

12.

Угроза нарушения целостности данных кеша.

13.

Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера.

14.

Угроза неправомерных действий в каналах связи.

15.

Угроза несанкционированного восстановления удалённой защищаемой информации.

16.

Угроза несанкционированного доступа к аутентификационной информации.

17.

Угроза несанкционированного доступа к виртуальным каналам передачи.

18.

Угроза несанкционированного изменения аутентификационной информации.

19.

Угроза несанкционированного копирования защищаемой информации.

20.

Угроза несанкционированного редактирования реестра.

21.

Угроза несанкционированного создания учётной записи пользователя.

22.

Угроза несанкционированного удаления защищаемой информации.

23.

Угроза несанкционированного управления буфером.

24.

Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб.

25.

Угроза обнаружения хостов.

26.

Угроза определения типов объектов защиты.

27.

Угроза определения топологии вычислительной сети.

28.

Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники.

29.

Угроза перехвата вводимой и выводимой на периферийные устройства информации.

30.

Угроза перехвата данных, передаваемых по вычислительной сети.

31.

Угроза повреждения системного реестра.

32.

Угроза подделки записей журнала регистрации событий.

33.

Угроза подмены доверенного пользователя.

34.

Угроза подмены содержимого сетевых ресурсов.

35.

Угроза приведения системы в состояние «отказ в обслуживании».

36.

Угроза пропуска проверки целостности программного обеспечения.

37.

Угроза удаления аутентификационной информации.

38.

Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи - сторонних серверов.

39.

Угроза утраты вычислительных ресурсов.

40.

Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации.

41.

Угроза форматирования носителей информации.

42.

Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации.

43.

Угроза эксплуатации цифровой подписи программного кода.

44.

Угроза «кражи» учётной записи доступа к сетевым сервисам.

45.

Угроза неправомерного шифрования информации.

46.

Угроза скрытного включения вычислительного устройства в состав бот-сети.

47.

Угроза «фарминга».

48.

Угроза «фишинга».

49.

Угроза несанкционированного использования системных и сетевых утилит.

50.

Угроза несанкционированной модификации защищаемой информации.

51.

Угроза использования уязвимых версий программного обеспечения.

52.

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны.

Начальник отдела делопроизводства,

кадровой работы и материально-технического

обеспечения управления контрольной работы

и организационного обеспечения             

Региональной службы по тарифам

Ростовской области  

О.И. Евтушенко

Приложение № 2

к постановлению

Региональной

службы по тарифам

Ростовской области

от 12.10.2017 № 48/1

Угрозы безопасности персональных данных, актуальные при обработке персональных данных

в информационной системе персональных данных «Кадры» Региональной службы по тарифам Ростовской области

1.

Угроза внедрения кода или данных.

2.

Угроза восстановления аутентификационной информации.

3.

Угроза длительного удержания вычислительных ресурсов пользователями.

4.

Угроза доступа к защищаемым файлам с использованием обходного пути.

5.

Угроза избыточного выделения оперативной памяти.

6.

Угроза использования альтернативных путей доступа к ресурсам.

7.

Угроза использования вычислительных ресурсов суперкомпьютера .«паразитными» процессами.

8.

Угроза использования механизмов авторизации для повышения привилегий.

9.

Угроза нарушения целостности данных кеша.

10.

Угроза несанкционированного восстановления удалённой защищаемой информации.

11.

Угроза несанкционированного доступа к аутентификационной информации.

12.

Угроза несанкционированного изменения аутентификационной информации.

13.

Угроза несанкционированного копирования защищаемой информации.

14.

Угроза несанкционированного редактирования реестра.

15.

Угроза несанкционированного создания учётной записи пользователя.

16.

Угроза несанкционированного удаления защищаемой информации.

17.

Угроза несанкционированного управления буфером.

18.

Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники.

19.

Угроза перехвата вводимой и выводимой на периферийные устройства информации.

20.

Угроза повреждения системного реестра.

21.

Угроза подделки записей журнала регистрации событий.

22.

Угроза удаления аутентификационной информации.

23.

Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации.

24.

Угроза форматирования носителей информации.

25.

Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации.

26.

Угроза эксплуатации цифровой подписи программного кода.

27.

Угроза неправомерного шифрования информации.

28.

Угроза несанкционированной модификации защищаемой информации.

29.

Угроза использования уязвимых версий программного обеспечения.

30.

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны.

Начальник отдела делопроизводства,

кадровой работы и материально-технического

обеспечения управления контрольной работы

и организационного обеспечения

Региональной службы по тарифам

Ростовской области  

О.И. Евтушенко