ПЕРЕЧЕНЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ РЕСПУБЛИКИ БУРЯТИЯ
1. Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в исполнительных органах государственной власти Республики Бурятия (далее - актуальные угрозы безопасности ИСПДн ИОГВ РБ), разработан в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
2. К основным видам актуальных угроз безопасности ИСПДн ИОГВ Республики Бурятия относятся:
2.1. Угрозы утечки по техническим каналам.
2.1.1. Угрозы утечки видовой информации.
2.2. Угрозы несанкционированного доступа к информации (далее - НСД).
2.2.1. Угрозы НСД в ИСПДн путем физического доступа.
2.2.2. Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств.
2.2.3. Угрозы НСД в виртуальной среде.
2.2.4. Угрозы НСД в ИСПДн, реализуемые по локальной сети:
- угроза "Сканирование сети";
- угроза "Анализ сетевого трафика" с перехватом передаваемой по локальной сети информации;
- угрозы выявления паролей внутри сети;
- угрозы удаленного запуска приложений;
- угрозы внедрения по сети вредоносных программ.
2.2.5. Угрозы НСД в ИСПДн, реализуемые с использованием протоколов межсетевого взаимодействия:
- угрозы "Анализа сетевого трафика" при межсетевом взаимодействии;
- угроза "Сканирование сети";
- угрозы подмены доверенного объекта при межсетевом взаимодействии;
- угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных во внешних сетях;
- угрозы выявления паролей при межсетевом взаимодействии;
- угрозы удаленного запуска приложений при межсетевом взаимодействии;
- угрозы внедрения вредоносных программ при межсетевом взаимодействии.
2.3. Угрозы, возникающие при передаче данных по каналам связи:
- угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых средствами криптографической защиты информации (далее - СКЗИ) персональных данных или создания условий для этого (далее - атака) при нахождении в пределах контролируемой зоны;
- угрозы проведения атаки на этапе эксплуатации средств криптографической информации на следующие объекты:
- документацию на СКЗИ и компоненты среды функционирования (далее - СФ) СКЗИ;