ПРАВИТЕЛЬСТВО ИРКУТСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 10 октября 2016 года N 655-пп

О ПЕРЕЧНЕ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ ИРКУТСКОЙ ОБЛАСТИ


В целях достижения обеспечения безопасности персональных данных, в соответствии с пунктом 1 части 2, частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", учитывая Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденную заместителем директора Федеральной службы по техническому и экспортному контролю Российской Федерации 15 февраля 2008 года, руководствуясь частью 4 статьи 66, статьей 67 Устава Иркутской области, Правительство Иркутской области постановляет:


1. Утвердить Перечень угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных исполнительных органов государственной власти Иркутской области (далее - Перечень) (прилагается).


2. Перечень, утвержденный настоящим постановлением, подлежит учету исполнительными органами государственной власти Иркутской области при разработке частных моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных исполнительных органов государственной власти Иркутской области.


3. Настоящее постановление подлежит официальному опубликованию на "Официальном интернет-портале правовой информации" (www.pravo.gov.ru).


Исполняющий обязанности
первого заместителя Губернатора
Иркутской области - Председателя
Правительства Иркутской области
Р.Н.БОЛОТОВ






Утвержден
Постановлением Правительства
Иркутской области
от 10 октября 2016 года N 655-пп

ПЕРЕЧЕНЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ ИРКУТСКОЙ ОБЛАСТИ


Угрозы несанкционированного доступа на рабочих местах, связанные с действиями нарушителей, имеющих доступ к информационным системам персональных данных, включая пользователей информационных систем персональных данных, реализующие угрозы непосредственно в информационных системах персональных данных.

Угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой.

Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и тому подобное) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения несанкционированного доступа программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и тому подобное).

Угрозы внедрения вредоносных программ.

Угрозы выявления паролей.

Угрозы типа "Отказ в обслуживании".

Угрозы удаленного запуска приложений.

Угрозы внедрения по сети вредоносных программ.

Угрозы "Анализа сетевого трафика" с перехватом передаваемой из информационных систем персональных данных и принимаемой в информационные системы персональных данных из внешних сетей информации.

Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций информационных систем персональных данных, топологии сети, открытых портов и служб, открытых соединений и другое.

Угрозы внедрения ложного объекта, как в информационные системы персональных данных, так и во внешних сетях.

Угрозы подмены доверенного объекта.

Угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных, как внутри сети, так и во внешних сетях.

Угрозы среды виртуализации.

Угрозы утечки видовой информации.

Угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств, с целью нарушения безопасности защищаемых средствами криптографической защиты информации (далее - СКЗИ) персональных данных или создания условий для этого (далее - атака) при нахождении в пределах контролируемой зоны.

Угрозы проведения атаки на этапе эксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ и компоненты среды функционирования (далее - СФ) СКЗИ;

помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ.

Угрозы получения в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.

Угрозы использования штатных средств информационных систем персональных данных, ограниченного мерами, реализованными в информационной системе, в которой используются СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Угрозы физического доступа к СВТ, на которых реализованы СКЗИ и СФ.

Угрозы возможностей воздействия на аппаратные компоненты СКЗИ и СФ, ограниченных мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Угрозы создания способов, подготовки и проведения атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (не декларированных) возможностей прикладного программного обеспечения.

Угрозы проведения лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченного мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Угрозы проведения работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного программного обеспечения, непосредственно использующего вызовы программных функций СКЗИ.

Угрозы создания способов, подготовки и проведения атак с привлечением специалистов в области использования для реализации атак недокументированных (не декларированных) возможностей системного программного обеспечения.

Угрозы возможностей располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

Угрозы возможностей воздействовать на любые компоненты СКЗИ и СФ.


Временно замещающий должность
начальника отдела технической защиты
информации Губернатора Иркутской области
и Правительства Иркутской области
П.А.РЯЗАНОВ

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»