Расширенный поиск
Постановление Администрации Костромской области от 03.04.2017 № 137-а
АДМИНИСТРАЦИЯ
КОСТРОМСКОЙ ОБЛАСТИ П О С Т А Н О В Л Е Н И Е от "3" апреля 2017 года № 137-а г. Кострома Об определении угроз
безопасности персональных данных, актуальных при обработке персональных данных
в информационных системах персональных данных администрации Костромской области В соответствии с частью 5
статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных
данных», с целью обеспечения единого подхода к определению угроз безопасности
персональных данных, актуальных при обработке персональных данных в
информационных системах персональных данных исполнительных органов
государственной власти Костромской области, взаимодействующих с информационными
системами персональных данных администрации Костромской области, администрация Костромской области ПОСТАНОВЛЯЕТ: 1. Определить угрозы безопасности персональных данных, актуальные
при обработке персональных данных в информационных системах персональных данных
администрации Костромской области, согласно приложению к настоящему постановлению. 2. Исполнительным органам государственной власти Костромской
области: 1) определить угрозы безопасности персональных данных, актуальные
при обработке персональных данных в используемых ими информационных системах
персональных данных; 2) руководствоваться настоящим постановлением при определении
угроз безопасности персональных данных, актуальных при обработке персональных
данных в используемых ими информационных системах персональных данных,
взаимодействующих с информационными системами персональных данных администрации
Костромской области. 3. Управлению информатизации и связи администрации Костромской
области разместить настоящее постановление на официальном сайте администрации Костромской области в информационно-телекоммуникационной сети «Интернет» в течение 10
дней со дня его принятия. 4. Настоящее постановление вступает в силу со дня его официального
опубликования. Губернатор
области С.
Ситников Приложение к постановлению администрации Костромской области от «3» апреля 2017 г. № 137-а УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, актуальные при обработке персональных данных в информационных
системах персональных данных администрации Костромской области Глава 1.
Общие положения 1. Угрозы безопасности
персональных данных, актуальные 2. Актуальные угрозы
безопасности ИСПДн АКО содержат перечень актуальных
угроз безопасности персональных данных 3. При разработке
Актуальных угроз безопасности ИСПДн АКО использованы нормативные
правовые акты: 1) Федеральный закон от 27
июля 2006 года № 149-ФЗ 2) Федеральный закон от 27
июля 2006 года № 152-ФЗ 3) Указ Президента
Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению
информационной безопасности Российской Федерации при использовании
информационно-телекоммуникационных сетей международного информационного
обмена»; 4) Указ Президента
Российской Федерации от 22 мая 2015 года № 260 «О некоторых вопросах
информационной безопасности Российской Федерации»; 5) постановление Правительства
Российской Федерации 6) приказ Федеральной
службы по техническому и экспортному контролю (далее – ФСТЭК России) от 18
февраля 2013 года № 21 7)
приказ Федеральной службы
безопасности Российской Федерации (далее – ФСБ России) от 10 июля 2014 года № 378
8)
приказ
ФСБ России от 9 февраля 2005 года № 66 9)
Методические рекомендации по
разработке нормативных правовых актов, определяющих угрозы безопасности
персональных данных, актуальные при обработке персональных данных 10) Методика определения
актуальных угроз безопасности персональных данных при их обработке в
информационных системах персональных данных, утвержденная ФСТЭК России от 14
февраля 2008 года; 11) Базовая модель угроз безопасности
персональных данных 4.
Угрозы
безопасности персональных данных, обрабатываемые 5. Частная модель угроз
безопасности персональных данных разрабатывается в соответствии с Базовой
моделью угроз и с учетом требований Приказа ФСТЭК России и Приказа ФСБ России. 6.
При
разработке частных моделей угроз безопасности персональных данных проводится
анализ структурно-функциональных характеристик конкретной ИСПДн
и применяемых в ней информационных технологий, а также особенностей ее
функционирования, в том числе 7. В частной модели угроз
безопасности персональных данных указываются: 1)
описание
ИСПДн и ее структурно-функциональных характеристик; 2)
описание
угроз безопасности информации, включающее описание возможностей нарушителей
(модель нарушителя); 3)
описание
возможных уязвимостей ИСПДн, способов реализации
угроз безопасности информации и последствий от нарушения свойств безопасности
информации. 8.
Персональные
данные субъектов персональных данных обрабатываются с целью обеспечения
деятельности администрации Костромской области и исполнительных органов
государственной власти Костромской области (далее – ИОГВ). 9. Актуальные угрозы
безопасности персональных данных, обрабатываемые в ИСПДн,
содержащиеся в Актуальных угрозах безопасности ИСПДн АКО,
уточняются и дополняются по мере выявления новых источников угроз, развития
способов и средств реализации угроз безопасности персональных данных в ИСПДн администрации Костромской области. Указанные
изменения согласовываются с ФСТЭК России и ФСБ России в установленном порядке. 10. ИСПДн администрации Костромской
области характеризуются тем, что в качестве объектов информатизации выступают распределенные
ИСПДн, имеющие подключение к
информационно-телекоммуникационным сетям общего пользования (далее – сети
общего пользования) и (или) информационно-телекоммуникационной сети «Интернет»
(далее – сеть «Интернет»). 11. ИСПДн ИОГВ характеризуются
тем, что в качестве объектов информатизации выступают автоматизированные
рабочие места, имеющие подключение к ИСПДн
администрации Костромской области, а также подключение к сетям общего
пользования и (или) сети «Интернет». 12. ИСПДн администрации
Костромской области и ИСПДн ИОГВ имеют различную
структуру, являются разноплановыми системами. 13. Ввод персональных
данных в ИСПДн администрации Костромской области и ИСПДн ИОГВ, а также вывод данных из ИСПДн
администрации Костромской области и ИСПДн ИОГВ
осуществляется 14. Информационный обмен персональными
данными по сетям общего пользования и (или) сети «Интернет» осуществляется 15. Технические средства ИСПДн администрации Костромской области и ИСПДн ИОГВ размещаются на территории Российской Федерации. 16. Базы данных информации,
с использованием которых осуществляются сбор, запись, систематизация,
накопление, хранение, уточнение (обновление, изменение), извлечение
персональных данных граждан Российской Федерации находятся на территории
Российской Федерации. 17. Контролируемой зоной ИСПДн администрации Костромской области и ИСПДн ИОГВ являются административные здания и отдельные
помещения. В пределах контролируемой зоны находятся рабочие места
пользователей, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн администрации Костромской области и ИСПДн ИОГВ. Вне контролируемой зоны находятся линии
передачи данных 18. В административных
зданиях осуществляется пропускной режим, неконтролируемое пребывание
посторонних лиц 19. Защита персональных
данных в ИСПДн администрации Костромской области и ИСПДн ИОГВ и сетях общего пользования, подключаемых к сети
«Интернет», обеспечивается средствами защиты информации (далее – СЗИ): 1)
средствами
антивирусной защиты, сертифицированными ФСТЭК России, не ниже 4 класса; 2)
межсетевыми
экранами, сертифицированными ФСТЭК России, 3)
СКЗИ,
формирующими виртуальные частные сети (VPN), сертифицированными ФСБ России по
классу КС1 и выше; 4)
средством
государственной системы обнаружения, предупреждения и ликвидации последствий
компьютерных атак Глава 2.
Угрозы безопасности информационных систем 20. Учитывая особенности
обработки персональных данных Конфиденциальность
– обязательное для соблюдения оператором или иным получившим доступ к
персональным данным лицом требование не допускать их распространения без
согласия субъекта персональных данных или наличия иного законного основания. Целостность
– состояние защищенности информации, характеризуемое способностью ИСПДн администрации Костромской области обеспечивать
сохранность и неизменность персональных данных при попытках несанкционированных
воздействий на них в процессе обработки или хранения. Доступность
– состояние персональных данных, при котором субъекты, имеющие право доступа,
могут реализовать его беспрепятственно. 21. Под угрозами
безопасности персональных данных понимается совокупность условий и факторов,
создающих актуальную опасность несанкционированного, в том числе случайного,
доступа к персональным данным при их обработке в ИСПДн
администрации Костромской области, результатом
которого могут стать уничтожение, изменение, блокирование, копирование,
предоставление, распространение персональных данных, 22. Для
ИСПДн администрации Костромской области актуальны
угрозы безопасности персональных данных третьего типа, не связанные 23. ИСПДн администрации
Костромской области обрабатывают персональные данные сотрудников администрации
Костромской области 24. Исходя
из состава обрабатываемых персональных данных 25. Основной целью
применения СКЗИ в ИСПДн администрации Костромской
области является защита персональных данных, в том числе при информационном
обмене по сетям общего пользования и (или) сети «Интернет». 26. Объектами защиты
являются: 1)
персональные
данные; 2)
СКЗИ;
3)
среда
функционирования СКЗИ (далее – СФ); 4)
информация,
относящаяся к криптографической защите персональных данных, включая ключевую,
парольную 5)
документы,
дела, журналы, картотеки, издания, технические документы, рабочие материалы, в
которых отражена защищаемая информация, относящаяся к ИСПДн
администрации Костромской области и их криптографической защите, включая
документацию на СКЗИ 6)
носители
защищаемой информации, используемые в ИСПДн
администрации Костромской области в процессе криптографической защиты
персональных данных, носители ключевой, парольной 7)
используемые
ИСПДн администрации Костромской области каналы
(линии) связи, включая кабельные системы; 8)
помещения,
в которых находятся ресурсы ИСПДн администрации
Костромской области, имеющие отношение 27. Основными видами угроз
безопасности для персональных данных в ИСПДн
администрации Костромской области являются: 1)
угрозы
утечки информации по техническим каналам: угрозы утечки
акустической (речевой) информации; угрозы утечки видовой
информации; угрозы утечки
информации по каналам побочного электромагнитного излучения и наводки; 2)
угрозы
несанкционированного доступа (далее – НСД) угрозы уничтожения,
хищения аппаратных средств ИСПДн носителей информации
путем физического доступа к элементам ИСПДн: кража персональной электронно-вычислительной
машины (далее – ПЭВМ); кража носителей
информации; кража ключей доступа; кража, модификация,
уничтожение информации; вывод из строя узлов
ПЭВМ, каналов связи; несанкционированное
отключение СЗИ; угрозы хищения,
несанкционированной модификации действия вредоносных
программ (вирусов); установка ПО, не связанного с исполнением служебных обязанностей; угрозы
непреднамеренных действий пользователей утрата ключей и
атрибутов доступа; непреднамеренная
модификация (уничтожение) информации сотрудниками; непреднамеренное
отключение СЗИ; выход из строя
аппаратно-программных средств; сбой системы
электроснабжения; стихийное бедствие; угрозы преднамеренных
действий внутренних нарушителей: доступ к информации,
модификация, уничтожение лицами, разглашение информации,
модификация, уничтожение сотрудниками, допущенными к ее обработке; угрозы НСД по каналам
связи: угроза «Анализ сетевого
трафика» с перехватом передаваемой из ИСПДн и
принимаемой из внешних сетей информации: перехват за переделами
с контролируемой зоны; перехват в пределах контролируемой
зоны внешними нарушителями; перехват в пределах
контролируемой зоны внутренними нарушителями; угрозы сканирования,
направленные на выявление типа или типов используемых операционных систем,
сетевых адресов рабочих станций ИСПДн, топологии сети,
открытых портов и служб, открытых соединений и др.; угрозы выявления
паролей по сети; угрозы навязывание
ложного маршрута сети; угрозы подмены
доверенного объекта в сети; угрозы внедрения
ложного объекта как в ИСПДн, угрозы типа «Отказ в
обслуживании»; угрозы удаленного
запуска приложений; угрозы внедрения по
сети вредоносных программ. 28. Основные
целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных
данных в ИСПДн администрации Костромской области или
создания условий для этого (далее – атака), при создании способов, подготовке и
проведении которых используются возможности из числа следующих: 1) создание способов,
подготовка и проведение атак 2) создание способов,
подготовка и проведение атак на различных этапах жизненного цикла СКЗИ; 3) проведение атаки,
находясь вне контролируемой зоны; 4) проведение на этапах
разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе
ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак: внесение
несанкционированных изменений в СКЗИ и (или) внесение
несанкционированных изменений в документацию 5)
проведение
атак на этапе эксплуатации СКЗИ на: персональные данные; ключевую,
аутентифицирующую и парольную информацию СКЗИ; программные компоненты
СКЗИ; аппаратные компоненты
СКЗИ; программные компоненты
СФ, включая ПО BIOS; аппаратные компоненты
СФ; данные, передаваемые по
каналам связи; иные объекты, которые
установлены при формировании совокупности предложений о возможностях, которые
могут использоваться при создании способов, подготовке и проведении атак 6)
получение
из находящихся в свободном доступе источников (включая сети общего пользования
и (или) сеть «Интернет») информации об ИСПДн, в
которой используется СКЗИ. При этом может быть получена следующая информация: общие
сведения об ИСПДн, в которой используется СКЗИ
(назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн); сведения об
информационных технологиях, базах данных, АС, ПО, используемых в ИСПДн совместно с СКЗИ, за исключением сведений,
содержащихся только в конструкторской документации содержание
конструкторской документации на СКЗИ; содержание находящейся
в свободном доступе документации общие сведения о
защищаемой информации, используемой сведения о каналах
связи, по которым передаются защищаемые СКЗИ персональные данные (далее – канал
связи); все возможные данные,
передаваемые в открытом виде сведения обо всех
проявляющихся в каналах связи, сведения обо всех
проявляющихся в каналах связи, сведения, получаемые в
результате анализа любых сигналов 7)
применение: находящихся в свободном доступе или
используемых специально разработанных АС и ПО; 8)
использование
на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от
объекта к субъекту) атаки действий, осуществляемых при подготовке и (или)
проведении атаки: каналов связи, не
защищенных от НСД к информации организационными и техническими мерами; каналов распространения
сигналов, сопровождающих функционирование СКЗИ и СФ; 9)
проведение
на этапе эксплуатации атаки из сетей общего пользования и (или) сети «Интернет»,
если ИСПДн, в которых используются СКЗИ, имеют выход
в эти сети; 10) использование
на этапе эксплуатации находящихся 11) проведение атаки при
нахождении в пределах контролируемой зоны; 12) проведение атак на
этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и
компоненты СФ; помещения, в которых находится
совокупность программных 13) получение в рамках
предоставленных полномочий, а также сведений о физических
мерах защиты объектов, в которых размещены ресурсы ИСПДн; сведений о мерах по
обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн; сведений о мерах по
разграничению доступа в помещения, 14) использование штатных
средств, ограниченное мерами, реализованными в ИСПДн,
в которой используется СКЗИ, 15) физический доступ к
СВТ, на которых реализованы СКЗИ и СФ; 16) возможность располагать
аппаратными компонентами СКЗИ 17) создание способов,
подготовка и проведение атак 18) проведение лабораторных
исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами,
реализованными 19) проведение
работ по созданию способов и средств атак 20) создание способов,
подготовка и проведение атак 21) возможность располагать
сведениями, содержащимися 22) возможность располагать
всеми аппаратными компонентами СКЗИ и СФ. 29. Угрозы, перечисленные в
пункте 28 Актуальных угроз безопасности ИСПДн АКО,
которые могут быть нейтрализованы только с помощью СКЗИ, учитываются при
разработке частных моделей угроз безопасности персональных данных в
соответствии с разделом 3 Методических рекомендаций ФСБ России по разработке
НПА. Глава 3.
Актуальные угрозы безопасности ИСПДн АКО 30. Актуальными угрозами
безопасности ИСПДн АКО являются угрозы НСД к
персональным данным: 1)
действия
вредоносных программ (вирусов); 2)
утрата
ключей и атрибутов доступа; 3)
перехват
передаваемой из ИСПДн и принимаемой из внешних сетей
информации за переделами контролируемой зоны; 4)
НСД
через сеть «Интернет»; 5)
НСД
через локальную вычислительную сеть организации; 6)
утечка
атрибутов доступа; 7)
угрозы
сканирования, направленные на выявление типа 8)
угрозы
выявления паролей по сети; 9)
угрозы
подмены доверенного объекта в сети; 10)
угрозы внедрения ложного объекта как в ИСПДн, 11)
угрозы типа «Отказ в обслуживании»; 12)
угрозы удаленного запуска приложений; 13)
угрозы внедрения по сети вредоносных программ. 31. Актуальными угрозами
безопасности ИСПДн АКО со СКЗИ являются атаки, при
создании способов, подготовке и проведении которых используются возможности из
числа следующих: 1)
создание
способов, подготовка и проведение атак 2)
создание
способов, подготовка и проведение атак на различных этапах жизненного цикла
СКЗИ; 3)
проведение
атаки, находясь вне контролируемой зоны; 4)
проведение
на этапах разработки (модернизации), производства, хранения, транспортировки
СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) атаки по внесению
несанкционированных изменений в СКЗИ и (или) в СФ, которые способны повлиять 5)
проведение
атак на этапе эксплуатации СКЗИ на: персональные данные; ключевую, аутентифицирующую и
парольную информацию СКЗИ; программные компоненты СКЗИ; аппаратные компоненты СКЗИ; программные компоненты СФ,
включая ПО BIOS; аппаратные компоненты СФ; данные, передаваемые по каналам
связи; 6)
получение
из находящихся в свободном доступе источников (включая сети общего пользования
и (или) сеть «Интернет») информации об ИСПДн, в
которой используется СКЗИ. При этом может быть получена следующая информация: общие сведения об ИСПДн, в которой используется СКЗИ
(назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн); сведения об информационных
технологиях, базах данных, АС, ПО, используемых в ИСПДн
совместно с СКЗИ, за исключением сведений, содержащихся только в
конструкторской документации содержание находящейся в
свободном доступе документации общие сведения о защищаемой
информации, используемой сведения о каналах связи; 7)
применение
находящихся в свободном доступе 8)
применение
специально разработанных АС и ПО; 9)
проведение
на этапе эксплуатации атаки из сетей общего пользования и (или) сети «Интернет»,
если ИСПДн, в которых используются СКЗИ, имеют выход
в эти сети; 10)
использование
на этапе эксплуатации находящихся Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Декабрь
|