Основная информация
| Дата опубликования: | 31 августа 2016г. |
| Номер документа: | RU45000201600757 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Курганская область |
| Принявший орган: | Управление по физической культуре, спорту и туризму Курганской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ПРАВИТЕЛЬСТВО КУРГАНСКОЙ ОБЛАСТИ
Приказ
Управления по физической культуре, спорту и туризму Курганской области
от 31 августа 2016 года № 306
Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в Управлении по физической культуре, спорту и туризму Курганской области при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки
г. Курган
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
ПРИКАЗЫВАЮ:
1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в Управлении по физической культуре, спорту и туризму Курганской области при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки. Приложение.
2. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник Управления
по физической культуре, спорту
и туризму Курганской области А.А. Васильев
Приложение
к приказу Управления по физической
культуре, спорту и туризму Курганской
области
от 31 августа 2016 года № 306
«Об определении угроз безопасности
персональных данных, актуальных при
обработке персональных данных в
информационных системах персональных
данных, эксплуатируемых в Управлении
по физической культуре, спорту и туризму
Курганской области при осуществлении
соответствующих видов деятельности,
с учетом содержания персональных данных,
характера и способов их обработки»
Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в Управлении по физической культуре, спорту и туризму Курганской области при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки
Раздел I. Общие положения
Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в Управлении по физической культуре, спорту и туризму Курганской области при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее - Актуальные угрозы безопасности ИСПДн Управления, Управление), разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Актуальные угрозы безопасности ИСПДн Управления содержат перечень актуальных угроз безопасности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) Управления.
Основные понятия и термины, используемые в Актуальных угрозах безопасности ИСПДн Управления, применяются в значениях, определенных действующим законодательством.
При определении угроз безопасности ПДн проводится анализ структурно-функциональных характеристик ИСПДн Управления, применяемых в ней информационных технологий и особенностей её функционирования.
Актуальные угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в Актуальных угрозах безопасности ИСПДн Управления, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности ПДн в ИСПДн, а так же в связи с изменениями требований законодательства Российской Федерации о защите информации, нормативных, правовых актов и методических документов, регламентирующих защиту информации.
Указанные изменения согласовываются с Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в установленном порядке.
Раздел II. Особенности обработки ПДн в ИСПДн Управления
Ввод ПДн в ИСПДн и их вывод из ИСПДн осуществляется с использованием бумажных и электронных носителей информации.
В качестве электронных носителей информации используются учтенные отчуждаемые и неотчуждаемые носители информации.
ПДн субъектов ПДн обрабатываются:
- с целью обеспечения деятельности Управления;
- в целях обеспечения кадровой работы, в том числе в целях содействия гражданским служащим, работникам в прохождении государственной гражданской службы в Управлении, выполнении работы, в обучении и должностном росте, обеспечения личной безопасности гражданских служащих, работников и членов их семей, обеспечения сохранности принадлежащего им имущества и имущества Управления, учета результатов исполнения ими должностных обязанностей, обеспечения установленных законодательством Российской Федерации условий осуществления служебной деятельности и труда, гарантий и компенсаций;
- в целях формирования кадрового резерва на государственной гражданской службе, резерва управленческих кадров Курганской области, противодействия коррупции;
- в целях приема, обработки и распределения поступивших в адрес Управления документов, обращений граждан и организаций, а также регистрации и отправки исходящей корреспонденции;
- в целях ведения внутренней служебной переписки;
- в целях формирования внутренних документов, регламентирующих деятельность Управления.
Информационный обмен по сетям связи общего пользования и (или) сетям международного информационного обмена осуществляется с использованием межсетевых экранов.
Контролируемой зоной (далее - КЗ) ИСПДн Управления являются ограждающие конструкции первого этажа здания, встроенного помещения. В пределах КЗ находятся рабочие места пользователей, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн, а так же линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.
В Управлении осуществляется внутриобъектовый режим, неконтролируемое пребывание посторонних лиц и неконтролируемое перемещение (вынос за пределы Управления) компьютеров и оргтехники запрещено.
Помещения оборудованы запирающимися дверями. В коридорах ведется наблюдение сторожами.
Раздел III. Угрозы безопасности ПДн в ИСПДн Управления
Учитывая особенности обработки ПДн в Управлении, а также категорию и объем обрабатываемых в ИСПДн ПДн, основными характеристиками безопасности являются конфиденциальность, целостность и доступность.
Конфиденциальность - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.
Целостность - состояние защищенности информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность информации при попытках несанкционированных воздействий на нее в процессе обработки или хранения.
Доступность - состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн.
Исходя из состава обрабатываемых ПДн определяется, что для обеспечения безопасности ПДн в ИСПДн Управления необходимо обеспечение третьего уровня защищенности ПДн (УЗ - 3).
Основной целью применения в ИСПДн Управления средств криптографической защиты информации (далее - СКЗИ) является защита ПДн при информационном обмене по сетям связи общего пользования и (или) сетям международного информационного обмена с государственными информационными системами.
Объектами защиты являются:
- ПДн;
-СКЗИ;
- среда функционирования (далее - СФ) СКЗИ;
- информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;
- документы, дела, журналы, картотеки, издания, технические документы, рабочие материалы и т.п., в которых отражена защищаемая информация, относящаяся к ИСПДн и их криптографической защите, включая документацию на СКЗИ и на технические и программные компоненты СФ;
- носители защищаемой информации, используемые в информационной системе в процессе криптографической защиты ПДн, носители ключевой, парольной и аутентифицирующей информации СКЗИ и порядок доступа к ним;
- используемые информационной системой каналы (линии) связи, включая кабельные системы;
- помещения, в которых находятся ресурсы информационной системы, имеющие отношение к криптографической защите ПДн.
Основными видами угроз безопасности ПДн в ИСПДн являются: угрозы утечки информации по техническим каналам;
- угрозы утечки акустической информации; угрозы утечки видовой информации;
- угрозы утечки информации по каналам побочных электромагнитных излучений и наводок;
- подбор логина/пароля;
- угрозы несанкционированного доступа к информации;
- угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн;
- кража персональной электронно-вычислительной машины (далее - ПЭВМ);
- кража носителей информации;
- кража ключей и атрибутов доступа;
- кража, модификация, уничтожение информации;
- вывод из строя узлов ПЭВМ, каналов связи;
- несанкционированное отключение средств защиты;
- угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (далее - НСД) с применением программно-аппаратных и программных средств (в том числе программноматематических воздействий);
- внедрение вирусов или иного вредоносного программного кода;
- использование не декларированных возможностей системного программного обеспечения (далее - ПО) и ПО для обработки ПДн;
- угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и системы защиты ПДн (далее - СЗПДн) в ее составе из-за сбоев в ПО, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного характера (ударов молний, пожаров, наводнений и т.п.);
- утрата, кража, передача ключей и атрибутов доступа;
- непреднамеренная модификация (уничтожение) информации сотрудниками;
- непреднамеренное отключение средств защиты;
- выход из строя аппаратно-программных средств;
- сбой системы электроснабжения;
- стихийное бедствие;
- угрозы преднамеренных действий внутренних нарушителей; доступ к информации, модификация, уничтожение информации лицами, не допущенными к ее обработке;
- разглашение информации, её модификация или уничтожение сотрудниками, допущенными к ее обработке;
- угрозы несанкционированного доступа по сети и каналам связи; угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации; перехват за переделами КЗ;
- перехват в пределах КЗ внешними нарушителями;
- перехват в пределах КЗ внутренними нарушителями;
- угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
- угрозы навязывания ложного маршрута сети;
- угрозы подмены доверенного объекта в сети;
- угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;
- угрозы типа «Отказ в обслуживании»;
- угрозы удаленного запуска приложений;
- возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами КЗ;
- возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах КЗ, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда функционирования;
- возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах КЗ с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда функционирования.
При определении актуальных угроз безопасности ПДн используются следующие положения:
- единый подход к созданию, развитию (модернизации) и эксплуатации информационных систем Управления, основанный на согласовании технологий обработки информации;
- реализация единого порядка согласования технических заданий и технических проектов на создание информационных систем и входящих в их состав систем защиты информации с использованием не криптографических средств защиты информации (далее - СЗИ) и (или) с использованием СКЗИ.
Актуальные угрозы безопасности ПДн в ИСПДн Управления:
- подбор логина/пароля;
- внедрение вирусов или иного вредоносного программного кода; вынос ПДн за пределы КЗ на съемном носителе информации; передача ПДн по открытым каналам связи за пределы КЗ;
- угрозы сканирования, направленные на выявление типа или типов используемых
операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений;
- угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением стандартных функций операционной системы или какой-либо прикладной программы с применением специально созданных для выполнения НСД;
- умышленное неправомерное внесение изменений в ПДн;
- кража/утеря съемных носителей информации, содержащих ПДн;
- утрата, кража, передача ключей и атрибутов доступа;
- искажение или удаление ПДн;
- просмотр или копирование в ходе ремонта, модификации и утилизации программно-аппаратных средств;
- блокирование доступа к информации (отказ в обслуживании ИСПДн); проведение атаки при нахождении в пределах КЗ;
- проведение атак на этапе эксплуатации СКЗИ в отношении документации на СКЗИ и компонентов СФ, помещений, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ;
- получение в рамках предоставленных полномочий, а также в результате наблюдений сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы, сведений о мерах по обеспечению КЗ объектов, в которых размещены ресурсы информационной системы, сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;
- использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий; физический доступ к СВТ, на которых реализованы СКЗИ и СФ; возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
ПРАВИТЕЛЬСТВО КУРГАНСКОЙ ОБЛАСТИ
Приказ
Управления по физической культуре, спорту и туризму Курганской области
от 31 августа 2016 года № 306
Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в Управлении по физической культуре, спорту и туризму Курганской области при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки
г. Курган
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
ПРИКАЗЫВАЮ:
1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в Управлении по физической культуре, спорту и туризму Курганской области при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки. Приложение.
2. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник Управления
по физической культуре, спорту
и туризму Курганской области А.А. Васильев
Приложение
к приказу Управления по физической
культуре, спорту и туризму Курганской
области
от 31 августа 2016 года № 306
«Об определении угроз безопасности
персональных данных, актуальных при
обработке персональных данных в
информационных системах персональных
данных, эксплуатируемых в Управлении
по физической культуре, спорту и туризму
Курганской области при осуществлении
соответствующих видов деятельности,
с учетом содержания персональных данных,
характера и способов их обработки»
Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в Управлении по физической культуре, спорту и туризму Курганской области при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки
Раздел I. Общие положения
Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в Управлении по физической культуре, спорту и туризму Курганской области при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее - Актуальные угрозы безопасности ИСПДн Управления, Управление), разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Актуальные угрозы безопасности ИСПДн Управления содержат перечень актуальных угроз безопасности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) Управления.
Основные понятия и термины, используемые в Актуальных угрозах безопасности ИСПДн Управления, применяются в значениях, определенных действующим законодательством.
При определении угроз безопасности ПДн проводится анализ структурно-функциональных характеристик ИСПДн Управления, применяемых в ней информационных технологий и особенностей её функционирования.
Актуальные угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в Актуальных угрозах безопасности ИСПДн Управления, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности ПДн в ИСПДн, а так же в связи с изменениями требований законодательства Российской Федерации о защите информации, нормативных, правовых актов и методических документов, регламентирующих защиту информации.
Указанные изменения согласовываются с Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в установленном порядке.
Раздел II. Особенности обработки ПДн в ИСПДн Управления
Ввод ПДн в ИСПДн и их вывод из ИСПДн осуществляется с использованием бумажных и электронных носителей информации.
В качестве электронных носителей информации используются учтенные отчуждаемые и неотчуждаемые носители информации.
ПДн субъектов ПДн обрабатываются:
- с целью обеспечения деятельности Управления;
- в целях обеспечения кадровой работы, в том числе в целях содействия гражданским служащим, работникам в прохождении государственной гражданской службы в Управлении, выполнении работы, в обучении и должностном росте, обеспечения личной безопасности гражданских служащих, работников и членов их семей, обеспечения сохранности принадлежащего им имущества и имущества Управления, учета результатов исполнения ими должностных обязанностей, обеспечения установленных законодательством Российской Федерации условий осуществления служебной деятельности и труда, гарантий и компенсаций;
- в целях формирования кадрового резерва на государственной гражданской службе, резерва управленческих кадров Курганской области, противодействия коррупции;
- в целях приема, обработки и распределения поступивших в адрес Управления документов, обращений граждан и организаций, а также регистрации и отправки исходящей корреспонденции;
- в целях ведения внутренней служебной переписки;
- в целях формирования внутренних документов, регламентирующих деятельность Управления.
Информационный обмен по сетям связи общего пользования и (или) сетям международного информационного обмена осуществляется с использованием межсетевых экранов.
Контролируемой зоной (далее - КЗ) ИСПДн Управления являются ограждающие конструкции первого этажа здания, встроенного помещения. В пределах КЗ находятся рабочие места пользователей, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн, а так же линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.
В Управлении осуществляется внутриобъектовый режим, неконтролируемое пребывание посторонних лиц и неконтролируемое перемещение (вынос за пределы Управления) компьютеров и оргтехники запрещено.
Помещения оборудованы запирающимися дверями. В коридорах ведется наблюдение сторожами.
Раздел III. Угрозы безопасности ПДн в ИСПДн Управления
Учитывая особенности обработки ПДн в Управлении, а также категорию и объем обрабатываемых в ИСПДн ПДн, основными характеристиками безопасности являются конфиденциальность, целостность и доступность.
Конфиденциальность - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.
Целостность - состояние защищенности информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность информации при попытках несанкционированных воздействий на нее в процессе обработки или хранения.
Доступность - состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн.
Исходя из состава обрабатываемых ПДн определяется, что для обеспечения безопасности ПДн в ИСПДн Управления необходимо обеспечение третьего уровня защищенности ПДн (УЗ - 3).
Основной целью применения в ИСПДн Управления средств криптографической защиты информации (далее - СКЗИ) является защита ПДн при информационном обмене по сетям связи общего пользования и (или) сетям международного информационного обмена с государственными информационными системами.
Объектами защиты являются:
- ПДн;
-СКЗИ;
- среда функционирования (далее - СФ) СКЗИ;
- информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;
- документы, дела, журналы, картотеки, издания, технические документы, рабочие материалы и т.п., в которых отражена защищаемая информация, относящаяся к ИСПДн и их криптографической защите, включая документацию на СКЗИ и на технические и программные компоненты СФ;
- носители защищаемой информации, используемые в информационной системе в процессе криптографической защиты ПДн, носители ключевой, парольной и аутентифицирующей информации СКЗИ и порядок доступа к ним;
- используемые информационной системой каналы (линии) связи, включая кабельные системы;
- помещения, в которых находятся ресурсы информационной системы, имеющие отношение к криптографической защите ПДн.
Основными видами угроз безопасности ПДн в ИСПДн являются: угрозы утечки информации по техническим каналам;
- угрозы утечки акустической информации; угрозы утечки видовой информации;
- угрозы утечки информации по каналам побочных электромагнитных излучений и наводок;
- подбор логина/пароля;
- угрозы несанкционированного доступа к информации;
- угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн;
- кража персональной электронно-вычислительной машины (далее - ПЭВМ);
- кража носителей информации;
- кража ключей и атрибутов доступа;
- кража, модификация, уничтожение информации;
- вывод из строя узлов ПЭВМ, каналов связи;
- несанкционированное отключение средств защиты;
- угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (далее - НСД) с применением программно-аппаратных и программных средств (в том числе программноматематических воздействий);
- внедрение вирусов или иного вредоносного программного кода;
- использование не декларированных возможностей системного программного обеспечения (далее - ПО) и ПО для обработки ПДн;
- угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и системы защиты ПДн (далее - СЗПДн) в ее составе из-за сбоев в ПО, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного характера (ударов молний, пожаров, наводнений и т.п.);
- утрата, кража, передача ключей и атрибутов доступа;
- непреднамеренная модификация (уничтожение) информации сотрудниками;
- непреднамеренное отключение средств защиты;
- выход из строя аппаратно-программных средств;
- сбой системы электроснабжения;
- стихийное бедствие;
- угрозы преднамеренных действий внутренних нарушителей; доступ к информации, модификация, уничтожение информации лицами, не допущенными к ее обработке;
- разглашение информации, её модификация или уничтожение сотрудниками, допущенными к ее обработке;
- угрозы несанкционированного доступа по сети и каналам связи; угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации; перехват за переделами КЗ;
- перехват в пределах КЗ внешними нарушителями;
- перехват в пределах КЗ внутренними нарушителями;
- угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
- угрозы навязывания ложного маршрута сети;
- угрозы подмены доверенного объекта в сети;
- угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;
- угрозы типа «Отказ в обслуживании»;
- угрозы удаленного запуска приложений;
- возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами КЗ;
- возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах КЗ, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда функционирования;
- возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах КЗ с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда функционирования.
При определении актуальных угроз безопасности ПДн используются следующие положения:
- единый подход к созданию, развитию (модернизации) и эксплуатации информационных систем Управления, основанный на согласовании технологий обработки информации;
- реализация единого порядка согласования технических заданий и технических проектов на создание информационных систем и входящих в их состав систем защиты информации с использованием не криптографических средств защиты информации (далее - СЗИ) и (или) с использованием СКЗИ.
Актуальные угрозы безопасности ПДн в ИСПДн Управления:
- подбор логина/пароля;
- внедрение вирусов или иного вредоносного программного кода; вынос ПДн за пределы КЗ на съемном носителе информации; передача ПДн по открытым каналам связи за пределы КЗ;
- угрозы сканирования, направленные на выявление типа или типов используемых
операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений;
- угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением стандартных функций операционной системы или какой-либо прикладной программы с применением специально созданных для выполнения НСД;
- умышленное неправомерное внесение изменений в ПДн;
- кража/утеря съемных носителей информации, содержащих ПДн;
- утрата, кража, передача ключей и атрибутов доступа;
- искажение или удаление ПДн;
- просмотр или копирование в ходе ремонта, модификации и утилизации программно-аппаратных средств;
- блокирование доступа к информации (отказ в обслуживании ИСПДн); проведение атаки при нахождении в пределах КЗ;
- проведение атак на этапе эксплуатации СКЗИ в отношении документации на СКЗИ и компонентов СФ, помещений, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ;
- получение в рамках предоставленных полномочий, а также в результате наблюдений сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы, сведений о мерах по обеспечению КЗ объектов, в которых размещены ресурсы информационной системы, сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;
- использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий; физический доступ к СВТ, на которых реализованы СКЗИ и СФ; возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 21.10.2019 |
| Рубрики правового классификатора: | 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 120.030.060 Информация о гражданах (персональные данные) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
