Постановление Правительства Саратовской области от 19.02.2016 № 60-П

ПРАВИТЕЛЬСТВО САРАТОВСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 19 февраля 2016 года N 60-П

г. Саратов

Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в органах исполнительной власти области, подведомственных им учреждениях и предприятиях

В соответствии с частью 5 статьи 19 Федерального закона "О персональных данных" с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в органах исполнительной власти области, подведомственных им учреждениях и предприятиях, Правительство области ПОСТАНОВЛЯЕТ:

1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных в органах исполнительной власти области, подведомственных им учреждениях и предприятиях, согласно приложению.

2. Рекомендовать органам местного самоуправления муниципальных образований области, подведомственным им учреждениям и предприятиям руководствоваться настоящим постановлением при определении угроз безопасности персональных данных, актуальных при обработке персональных данных в используемых ими информационных системах персональных данных.

3. Контроль за выполнением настоящего постановления возложить на вице-губернатора области Фадеева Д.В.

4. Министерству информации и печати области опубликовать настоящее постановление в течение десяти дней со дня его подписания.

5. Настоящее постановление вступает в силу через десять дней после дня его официального опубликования.

Губернатор области                                                                       В.В.Радаев

Приложение к постановлению

Правительства области от

19 февраля 2016 года N 60-П

Угрозы

безопасности персональных данных, актуальные при обработке

персональных данных в информационных системах

персональных данных в органах исполнительной власти области,

подведомственных им учреждениях и предприятиях

1. Общие положения

1.1. Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных в органах исполнительной власти области, подведомственных им учреждениях и предприятиях, (далее – Актуальные угрозы безопасности) разработаны в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".

1.2. Актуальные угрозы безопасности содержат перечень актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) в органах исполнительной власти области, входящих в структуру органов исполнительной власти Саратовской области, утвержденную постановлением Губернатора Саратовской области от 9 апреля 2012 года N 125, подведомственных им учреждениях и предприятиях (далее – государственные органы).

1.3. Угрозы безопасности персональных данных, обрабатываемых в ИСПДн, приведенные в Актуальных угрозах безопасности, подлежат адаптации в ходе разработки операторами ИСПДн частных моделей угроз безопасности информации. В процессе этой работы проводится анализ структурно­-функциональных характеристик конкретной ИСПДн, применяемых в ней информационных технологий и особенностей ее функционирования. По результатам анализа делается вывод об отнесении ИСПДн к одному из видов ИСПДн, приведенных в пункте 1.6 настоящего документа.

1.4. В частной модели угроз безопасности информации указываются:

описание ИСПДн и ее структурно-функциональных характеристик;

описание угроз безопасности информации, включающее описание возможностей нарушителя (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Типовая форма частной модели угроз безопасности информации для государственных органов разрабатывается комитетом по информатизации области с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17.

1.5. Актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, содержащиеся в Актуальных угрозах безопасности ИСПДн, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в ИСПДн. Указанные изменения согласовываются комитетом по информатизации области с Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России) и Федеральной службой безопасности Российской Федерации в установленном порядке.

1.6. В государственных органах создаются и эксплуатируются однотипные и разноплановые информационные системы (далее – ИС), в которых могут обрабатываться персональные данные (далее – ПДн). В зависимости от предназначения ИСПДн подразделяются на:

1.6.1. ИСПДн обеспечения типовой деятельности, предназначенные для автоматизации обеспечивающей деятельности государственных органов в рамках исполнения ими типовых полномочий, предусмотренных нормативными правовыми актами. К ИСПДн обеспечения типовой деятельности относятся:

ИСПДн управление персоналом (учет кадров);

ИСПДн управление финансами (расчет заработной платы);

1.6.2. ИСПДн обеспечения специальной деятельности, предназначенные для автоматизации или информационной поддержки предоставления государственных услуг, исполнения государственных функций, предусмотренных нормативными правовыми актами Саратовской области в качестве полномочий конкретного государственного органа. К ИСПДн обеспечения специальной деятельности относятся:

"Система электронного документооборота Правительства Саратовской области "Практика";

"Система межведомственного электронного взаимодействия Саратовской области";

"Информационная система для формирования, учета и отправки начислений в Государственную информационную систему о государственных и муниципальных платежах, а также получения информации о фактах оплаты заявителями платежей при получении государственных и муниципальных услуг, погашении штрафов и сборов, государственных пошлин Саратовской области";

ИСПДн по направлениям деятельности государственных органов, предназначенные для предоставления государственных услуг, исполнения государственных функций (например: ИСПДн в сферах здравоохранения, образования, социального обслуживания).

2. ИСПДн обеспечения типовой деятельности

2.1. ИСПДн обеспечения типовой деятельности государственных органов характеризуются тем, что в качестве объектов информатизации выступают локальные автоматизированные рабочие места (далее – АРМ) или АРМ, подключенные к локальным вычислительным сетям, объединенные в объектовые ИСПДн, имеющие или не имеющие подключение к сетям общего пользования и (или) сетям международного информационного обмена. Ввод ПДн в ИСПДн осуществляется с бумажных носителей. ПДн субъектов могут выводиться из ИСПДн в электронном виде или на бумажных носителях.

2.2. Операторами ИСПДн обеспечения типовой деятельности являются государственные органы. Количество субъектов ПДн не превышает 100 тысяч. ПДн хранятся на учтенных машинных носителях информации (далее – МНИ), в качестве которых используются средства электронно-вычислительной техники.

2.3. ИСПДн управление персоналом предназначены для кадрового учета служащих и работников, управления кадровым резервом, проведения аттестации, повышения квалификации и других функций, связанных с управлением персоналом государственных органов. В ИСПДн управление персоналом обрабатываются ПДн сотрудников органа исполнительной власти, граждан, подавших сведения для участия в конкурсе на замещение вакантных должностей государственной гражданской службы и о включении в кадровый резерв, а также граждан, претендующих на замещение должностей руководителей подведомственных им учреждений и предприятий: фамилия, имя, отчество; дата и место рождения; адрес места жительства; паспортные данные; сведения для заполнения личных карточек работников формы N Т-2; сведения из трудовой книжки; дополнительный перечень информации, имеющей характер персональных данных работников.

2.4. ИСПДн управление финансами предназначены для обработки ПДн, необходимых для бухгалтерского и финансового учета, представления информации в пенсионные фонды, налоговые органы, органы обязательного социального страхования. В ИСПДн управление финансами обрабатываются: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес места жительства; номер телефона, идентификационный номер налогоплательщика (далее – ИНН), страховой номер индивидуального лицевого счета (СНИЛС), табельный номер, наименование должности, номер приказа и дата приема на работу (увольнения), номер лицевого счета для перечисления денежного содержания и иных выплат работнику; фамилия, имя, отчество, паспортные данные, места жительства, наименование должности, номер телефона, ИНН, банковские платежные реквизиты граждан, являющихся стороной гражданско-правовых договоров о выполнении работ, оказании услуг.

2.5. Информационный обмен по сетям передачи данных общего пользования и (или) сетям международного информационного обмена осуществляется с использованием сертифицированных средств криптографической защиты информации (далее – СКЗИ). Контролируемой зоной (далее – КЗ) ИСПДн являются служебные здания государственных органов или отдельные помещения в этих зданиях. В пределах КЗ находятся АРМ пользователей ИСПДн, серверы ИСПДн, телекоммуникационное оборудование и аппаратные средства защиты информации ИСПДн. Вне КЗ находятся линии передачи данных и телекоммуникационное оборудование операторов связи, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.

2.6. В ИСПДн обеспечения типовой деятельности применяются следующие меры по защите ПДн и СКЗИ:

утверждение правил доступа в помещения, где располагаются АРМ, на которых осуществляется обработка ПДн, СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;

утверждение перечня лиц, имеющих право доступа в помещения, где располагаются АРМ, СКЗИ;

обеспечение доступа в КЗ, где располагается АРМ, СКЗИ, в соответствии с контрольно-пропускным режимом;

при работе в помещениях, где расположены АРМ, СКЗИ, нахождение в этих помещениях представителей технических, обслуживающих и других вспомогательных служб, а также сотрудников, не являющихся пользователями СКЗИ, только в присутствии уполномоченных сотрудников органа исполнительной власти;

информирование сотрудников, являющихся пользователями ИСПДн, но не являющихся пользователями СКЗИ, о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;

информирование пользователей СКЗИ о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;

оснащение помещений, в которых располагаются СКЗИ, входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам;

осуществление регистрации и учета действий пользователей с ПДн;

осуществление контроля целостности средств защиты;

использование на АРМ и серверах, на которых установлены сертифицированные СКЗИ, сертифицированных средств защиты информации от несанкционированного доступа, сертифицированных средств антивирусной защиты.

2.7. ИСПДн управление персоналом могут взаимодействовать с ИСПДн управление финансами.

3. ИСПДн обеспечения специальной деятельности

3.1. ИСПДн обеспечения специальной деятельности государственных органов характеризуются тем, что в качестве объектов информатизации выступают локальные или распределенные ИС регионального масштаба, подключенные к сетям общего пользования и (или) сетям международного информационного обмена. Ввод ПДн в ИСПДн осуществляется с бумажных носителей или с электронных носителей информации. ПДн субъектов ПДн обрабатываются с целью предоставления государственных услуг, исполнения функций государственных органов и могут выводиться из ИСПДн в электронном виде или на бумажных носителях.

3.2. Операторами ИСПДн обеспечения специальной деятельности являются государственные органы. Количество субъектов ПДн превышает 100 тысяч. ПДН хранятся на учтенных МНИ, в качестве которых используются средства электронно-вычислительной техники.

3.3. В ИСПДн обеспечения специальной деятельности обрабатываются ПДн, представляемые заявителями при обращении за получением государственных услуг, сведения, получаемые из государственных ИС, от государственных органов, используемые для подготовки ответов на запросы в соответствии с административными регламентами предоставления государственных услуг, утвержденными нормативными правовыми актами соответствующего органа исполнительной власти.

3.4. ИСПДн по направлениям деятельности государственных органов предназначены для обеспечения деятельности государственных органов и исполнения функций, не отраженных в пункте 3.3. В ИСПДн обрабатываются ПДн субъектов ПДн, необходимые для исполнения функций государственных органов, определенных в нормативных правовых актах соответствующего органа исполнительной власти.

3.5. ИСПДн электронного документооборота предназначены для автоматизации делопроизводства, служебной переписки, архивной деятельности, учета корреспонденции, обращений граждан, обеспечения доступа работников государственного органа к электронным документам в ИСПДн. В ИСПДн обрабатываются: фамилия, имя, отчество, наименование должности работников, информация о ПДн граждан, имеющаяся в документах.

3.6. Информационный обмен по сетям связи общего пользования и (или) сетям международного информационного обмена осуществляется с использованием сертифицированных СКЗИ. Контролируемой зоной ИСПДн являются служебные здания государственных органов или отдельные помещения в этих зданиях. В пределах КЗ находятся АРМ пользователей, серверы ИСПДн, телекоммуникационное оборудование и аппаратные средства защиты информации. Вне КЗ находятся линии передачи данных и телекоммуникационное оборудование операторов связи, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.

3.7. В ИСПДн обеспечения специальной деятельности применяются следующие меры по защите ПДн и СКЗИ:

утверждение правил доступа в помещения, где располагаются АРМ, на которых осуществляется обработка ПДн, СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;

утверждение перечня лиц, имеющих право доступа в помещения, где располагаются АРМ, СКЗИ;

обеспечение доступа в КЗ, где располагается АРМ, СКЗИ, в соответствии с контрольно-пропускным режимом;

при работе в помещениях, где расположены АРМ, СКЗИ, нахождение в этих помещениях представителей технических, обслуживающих и других вспомогательных служб, а также сотрудников, не являющихся пользователями СКЗИ, только в присутствии уполномоченных сотрудников органа исполнительной власти;

информирование сотрудников, являющихся пользователями ИСПДн, но не являющихся пользователями СКЗИ, о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;

информирование пользователей СКЗИ о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;

оснащение помещений, в которых располагаются СКЗИ, входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам;

осуществление регистрации и учета действий пользователей с ПДн;

осуществление контроля целостности средств защиты;

использование на АРМ и серверах, на которых установлены сертифицированные СКЗИ, сертифицированных средств защиты информации от несанкционированного доступа, сертифицированных средств антивирусной защиты.

3.8. Осуществляется информационное взаимодействие между "Системой межведомственного электронного взаимодействия Саратовской области", "Информационной системой для формирования, учета и отправки начислений в Государственную информационную систему о государственных и муниципальных платежах, а также получения информации о фактах оплаты заявителями платежей при получении государственных и муниципальных услуг, погашении штрафов и сборов, государственных пошлин Саратовской области" и ИСПДн по направлениям деятельности государственных органов, предназначенные для предоставления государственных услуг, исполнения государственных функций.

4. Объекты защиты ИСПДн, классификация

и характеристики нарушителей

4.1. В системе защиты информации ИСПДн к объектам защиты относятся:

Объект 1 – персональные данные;

Объект 2 – СКЗИ;

Объект 3 – среда функционирования СКЗИ (далее – СФ);

Объект 4 – информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;

Объект 5 – документы, дела, журналы, картотеки, издания, технические документы, видео-, кино- и фотоматериалы, рабочие материалы и т.п., в которых отражена защищаемая информация, относящаяся к ИСПДн и их криптографической защите, включая документацию на СКЗИ и на технические и программные компоненты СФ;

Объект 6 – носители защищаемой информации, используемые в ИС в процессе криптографической защиты ПДн, носители ключевой, парольной и аутентифицирующей информации СКЗИ и порядок доступа к ним;

Объект 7 – используемые информационной системой каналы (линии) связи, включая кабельные системы;

Объект 8 – помещения, в которых находятся ресурсы ИС, имеющие отношение к криптографической защите ПДн.

4.2. По наличию права постоянного или разового доступа в контролируемую зону ИСПДн нарушители подразделяются на два типа:

внешние нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;

внутренние нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.

4.3. Внешними нарушителями могут быть:

разведывательные службы государств;

криминальные структуры;

физические лица.

4.4. Внешний нарушитель имеет возможность осуществлять:

несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

несанкционированный доступ через АРМ, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;

несанкционированный доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;

несанкционированный доступ через ИС взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн.

4.5. Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

4.5.1. К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн.

Лицо этой категории может:

иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;

располагать фрагментами информации о топологии ИСПДн и об используемых коммуникационных протоколах и их сервисах;

располагать именами и вести выявление паролей зарегистрированных пользователей;

изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.

4.5.2. Ко второй категории относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

Лицо этой категории:

обладает всеми возможностями лиц первой категории;

знает, по меньшей мере, одно легальное имя доступа;

обладает всеми необходимыми атрибутами, обеспечивающими доступ к некоторому подмножеству ПДн;

располагает конфиденциальными данными, к которым имеет доступ.

4.5.3. К третьей категории относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным ИС.

Лицо этой категории:

обладает всеми возможностями лиц первой и второй категорий;

располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной ИС, через которую осуществляется доступ, и о составе технических средств ИСПДн;

имеет возможность физического доступа к фрагментам технических средств ИСПДн.

4.5.4. К четвертой категории относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте ИСПДн;

обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;

имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте ИСПДн;

имеет доступ ко всем техническим средствам сегмента ИСПДн;

обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента ИСПДн.

4.5.5. К пятой категории относятся зарегистрированные пользователи с полномочиями системного администратора ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.

4.5.6. К шестой категории относятся зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией об ИСПДн;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).

4.5.7. К седьмой категории относятся программисты-разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте.

Лицо этой категории:

обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение (далее – ПО) ИСПДн на стадии ее разработки, внедрения и сопровождения;

может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

4.5.8. К восьмой категории относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн.

Лицо этой категории:

обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;

может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.

4.6. Возможность или невозможность доступа каждой категории нарушителей к объектам защиты определяется в соответствии с таблицей N 1.

Таблица N 1

4.7. Источники атак на объекты ИСПДн располагают обобщенными возможностями в соответствии с таблицей N 2.

Таблица N 2

4.8. Уточненные возможности нарушителей и направления атак приведены в таблице N 3.

Таблица N 3

5. Актуальные угрозы безопасности

5.1. Учитывая особенности обработки ПДн в органах исполнительной власти области, а также категорию и объем обрабатываемых в ИСПДн персональных данных, основными характеристиками безопасности являются конфиденциальность, целостность и доступность.

Конфиденциальность – обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.

Целостность – состояние защищенности информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность информации при попытках несанкционированных воздействий на нее в процессе обработки или хранения.

Доступность – состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

5.2. Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИС, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия. Для определения актуальных угроз безопасности из общего перечня угроз безопасности выбираются только те угрозы, которые являются актуальными для ИСПДн обеспечения типовой или специальной деятельности.

5.3. Угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, подразделяются на угрозы первого, второго, третьего типа. Для определения актуальных угроз безопасности из общего перечня угроз безопасности выбираются только те угрозы, которые являются актуальными для ИСПДн в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года. Большинство угроз безопасности персональным данным в ИСПДн государственных органов относится к третьему типу. Уровень защищенности ПДн в ИСПДн государственных органов не выше 3-го уровня защищенности (за исключением ИС регионального масштаба, обрабатывающих специальные категории ПДн).