Постановление Правительства Сахалинской области от 15.06.2017 № 283

Об утверждении перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Правительстве Сахалинской области, органах исполнительной власти Сахалинской области...

01 Постановление Правительства Сахалинской области

правительствосахалинской области

постановление

от 15 июня2017 г. № 283

г. Южно-Сахалинск

Об утверждении перечня угроз безопасности персональныхданных, актуальных при обработке персональных данных в информационных системахперсональных данных в Правительстве Сахалинской области, органах исполнительнойвласти Сахалинской области и подведомственных им учреждениях

С целью обеспечения единого подхода копределению угроз безопасности персональных данных, актуальных при обработкеперсональных данных в информационных системах персональных данных вПравительстве Сахалинской области, органах исполнительной власти Сахалинскойобласти и подведомственных им учреждениях, в соответствии с частью 5 статьи 19Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»Правительство Сахалинской области постановляет:

1. Утвердить Перечень угроз безопасностиперсональных данных, актуальных при обработке персональных данных винформационных системах персональных данных в Правительстве Сахалинскойобласти, органах исполнительной власти Сахалинской области и подведомственныхим учреждениях (прилагается).

2. Рекомендовать администрацияммуниципальных образований Сахалинской области и подведомственным имучреждениям, организациям:

- определить угрозы безопасности персональныхданных, актуальные при обработке персональных данных в используемых имиинформационных системах персональных данных;

- при определении угроз безопасностиперсональных данных, актуальных при обработке персональных данных виспользуемых ими информационных системах персональных данных, руководствоватьсянастоящим постановлением.

3. Опубликовать настоящее постановление вгазете «Губернские ведомости», на официальном сайте Губернатора и ПравительстваСахалинской области, на «Официальном интернет-портале правовой информации».

Председатель Правительства Сахалинской области

В.Г.Щербина

УТВЕРЖДЕН

постановлениемПравительства

Сахалинской области

от

15 июня 2017 г.

№

283

Перечень

угроз безопасности персональных данных, актуальных приобработке персональных данныхв информационных системах персональных данныхвПравительстве Сахалинской области, органах исполнительной власти Сахалинскойобласти и подведомственных им учреждениях

1. Общие положения

Учитывая особенности обработки персональныхданных в Правительстве Сахалинской области, органах исполнительной властиСахалинской области и подведомственных им учреждениях (далее -Органы власти иучреждения), а также категорию и объем обрабатываемых винформационной системеперсональных данных (далее – ИСПДн), основными характеристиками безопасностиявляются конфиденциальность, целостность и доступность.

Конфиденциальность - обязательное длясоблюдения Органом власти и учреждением или иным получившим доступ кперсональным данным лицом требование не допускать их распространение безсогласия субъекта персональных данных или наличия иного законного основания.

Целостность - состояние защищенностиинформации, характеризуемое способностью автоматизированной системыобеспечивать сохранность и неизменность информации при попыткахнесанкционированных воздействий на нее в процессе обработки или хранения.

Доступность - состояние информации, прикотором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

Под актуальными угрозами безопасностиперсональных данных понимается совокупность условий и факторов, создающихактуальную опасность несанкционированного, в том числе случайного, доступа кперсональным данным при их обработке в информационной системе, результатомкоторого могут стать уничтожение, изменение, блокирование, копирование,предоставление, распространение персональных данных, а также иные неправомерныедействия.

Угрозы безопасности персональных данных,актуальные при обработке персональных данных в ИСПДн, согласнопостановлениюПравительства Российской Федерации от 01.11.2012 № 1119подразделяются на угрозыпервого, второго, третьего типа.В соответствии с пунктом 7 Требований к защитеперсональных данных при их обработке в информационных системах персональныхданных, утвержденных постановлением Правительства Российской Федерацииот01.11.2012 № 1119, определение типа угроз безопасности персональных данных,актуальных для информационной системы, производится оператором системы,определённым нормативным правовым актом Сахалинской области, с учетом оценкивозможного вреда.

Для определения актуальных угрозбезопасности из общего перечня угроз безопасности выбираются только те угрозы,которые являются актуальными для ИСПДн в соответствии с Методикой определенияактуальных угроз безопасности персональных данных при их обработке винформационных системах персональных данных, утвержденной заместителемдиректора ФСТЭК России от 14.02.2008.

Основной целью применения в ИСПДн Органоввласти и учреждений СКЗИ является защита персональных данных при информационномобмене по сетям связи общего пользования и (или) сетям международногоинформационного обмена.

Основными видами угроз безопасностиперсональным данным в ИСПДн являются:

- угрозы, связанные с преднамеренными илинепреднамеренными действиями лиц, имеющих доступ к информационным ресурсамИСПДн, включая пользователей ИСПДн;

- угрозы, связанные с преднамеренными илинепреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующихугрозы из внешних сетей связи общего пользования и (или) сетей международногоинформационного обмена;

- угрозы, возникновение которых напрямуюзависит от свойств техники и программного обеспечения (далее – ПО),используемого в ИСПДн;

- угрозы, возникающие в результатевнедрения аппаратных закладок и вредоносных программ;

- угрозы, направленные на нарушениенормальной работы технических средств и средств связи, используемых в ИСПДн;

- угрозы, связанные с недостаточнойквалификацией обслуживающего ИСПДн персонала.

2. Актуальные угрозы безопасности ИСПДн Органоввласти и учреждений

2.1. ИСПДн Органов власти и учрежденийотличаются следующими особенностями:

- использованием стандартных(унифицированных) технических средств обработки информации;

- использованием типового ПО;

- наличием незначительного количестваавтоматизированных рабочих мест, участвующих в обработке персональных данных;

- дублированием информации, содержащейперсональные данные, на бумажных носителях и внешних накопителях информации;

- незначительными негативными последствиямидля субъектов персональных данных при реализации угроз безопасности ИСПДн;

- эксплуатацией ИСПДн (как правило)сотрудниками Органов власти и учреждений без привлечения на постоянной основесторонних организаций;

- жесткой регламентацией процедурывзаимодействия со сторонними организациями (банки, пенсионные, страховые иналоговые органы, органы статистики).

2.2. Актуальными угрозами безопасностиИСПДн Органов властии учреждений (учитывая угрозы, изложенные в Банке данныхугроз безопасности информацииhttp://bdu.fstec.ru/threat), учитывая положения,изложенные в настоящем разделе, признаются:

- угрозы внедрения кода или данных;

- угрозы утраты, хищения вычислительныхресурсов и носителей защищаемой информации;

- угрозы несанкционированного воздействияна защищаемую информацию;

- угрозы воздействия на программы свысокими привилегиями;

- угрозы нарушения целостности данных кеша;

- угрозы непреднамеренного илипреднамеренного вывода из строя технических средств и средств защиты информации(далее – СЗИ);

- угрозы несанкционированного отключения СЗИ;

- угрозы физического устаревания аппаратныхкомпонентов;

- угрозы форматирования носителейинформации;

- угрозы несанкционированного воздействияна идентификационную и аутентификационную информацию;

- угрозы преодоления физической защиты;

- угрозы получения предварительнойинформации об объекте защиты;

- угрозы подделки записей журналарегистрации событий;

- угрозы несанкционированного воздействияна системный реестр;

- угрозы перехвата привилегированногопроцесса или потока;

- угрозы некорректного использованияфункционала программного обеспечения;

- угрозы внедрения вредоносного кода;

- угрозы загрузки нештатной операционнойсистемы.

3. Актуальные угрозыбезопасности государственных информационных систем (далее – ГИС) Органоввластии учреждений, обрабатывающих персональные данные

3.1. ГИС Органов власти и учреждений,обрабатывающих персональные данные, отличаются следующими особенностями:

- использованием широкой номенклатуры(зачастую уникальных) технических средств получения, отображения и обработки информации;

- использованием специального(адаптированного под конкретную задачу) ПО;

- наличием значительного количестваавтоматизированных рабочих мест, участвующих в обработке персональных данных;

- построением ГИС на базе распределенной потерритории Сахалинской области вычислительной сети со сложной архитектурой;

- наличием выходов в сети общегопользования и (или) сети международного информационного обмена, локальныевычислительные сети сторонних организаций;

- использованием разнообразной телекоммуникационнойсреды, принадлежащей различным операторам связи;

- широким применением СЗИ,сертифицированных СКЗИ при информационном обмене по сетям связи общегопользования и (или) сетям международного информационного обмена;

- использованием аутсорсинга при создании иэксплуатации ГИС и ее элементов;

- сложностью дублирования больших массивовинформации, содержащей персональные данные, на бумажных носителях и внешнихнакопителях информации;

- значительными негативными последствиямипри реализации угроз безопасности ГИС;

- риском недостаточной квалификациипользователей и обслуживающего ГИС и СЗИ персонала;

- проблемами взаимодействия различных ГИС,вызванными несовершенством действующего законодательства и ведомственныхинструкций.

3.2. Актуальными угрозами безопасностиГИСОрганов власти и учреждений, обрабатывающих персональные данные (учитываяугрозы, изложенные в Банке данных угроз безопасностиинформацииhttp://bdu.fstec.ru/threat), учитывая положения, изложенные внастоящем разделе, помимо угроз, указанных в пункте 2.2 настоящего Перечня,признаются:

- угрозы аппаратно-программным средствамвиртуализации (при их использовании в ГИС);

- угрозы обнаружения хостов;

- угрозы обнаружения открытых портов иидентификации привязанных к ним сетевых служб;

- угрозы удаленного внеполосного доступа каппаратным средствам;

- угрозы неправомерных действий в каналахсвязи;

- угрозы межсайтового скриптинга;

- угрозы межсайтовой подделки запросов;

- угрозы использования альтернативных путейдоступа к ресурсам;

- угрозы «фарминга»;

- угрозы «фишинга»;

- угрозы спама веб-сервера;

- угрозы доступа/перехвата/изменения HTTPcookies ;

- угрозы «кражи» учётной записи доступа ксетевым сервисам;

- угрозы подмены субъекта сетевого доступа;

- угрозы подмены содержимого сетевыхресурсов;

- угрозы перехвата данных, передаваемых повычислительной сети;

- угрозы передачи данных по скрытымканалам;

- угрозы несанкционированного доступа поканалам связи.