12. Угрозы безопасности персональных данных рассмотрены в Методических рекомендациях по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 31 марта 2015 г. N 149/7/2/6-432, и в Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 г.
Учитывая особенности обработки персональных данных в органах исполнительной власти, а также категорию и объем персональных данных, обрабатываемых в информационных системах, основными характеристиками безопасности информации являются конфиденциальность, целостность и доступность.
Конфиденциальность - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Целостность - состояние защищенности информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность информации при попытках несанкционированных воздействий на нее в процессе обработки или хранения.
Доступность - состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
13. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
Основная часть угроз безопасности персональных данных в информационных системах органов исполнительной власти относятся к 3-му типу.
В информационных системах органов исполнительной власти и подведомственных им организаций при информационном обмене по сетям связи общего пользования и (или) сетям международного информационного обмена для защиты персональных данных применяются СКЗИ.
14. Основными актуальными угрозами безопасности персональных данных в информационных системах являются:
угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к информационным ресурсам информационных систем, включая пользователей информационных систем;