ГУБЕРНАТОР ПЕРМСКОГО КРАЯ

УКАЗ

от 22 февраля 2018 года N 13


Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Администрации губернатора Пермского края, исполнительных органах государственной власти Пермского края

(с изменениями на 20 декабря 2022 года)

(в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)



В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Администрации губернатора Пермского края, исполнительных органах государственной власти Пермского края, постановляю:


(в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)


1. Утвердить Положение об угрозах безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Администрации губернатора Пермского края, исполнительных органах государственной власти Пермского края.


(в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)


2. Рекомендовать органам местного самоуправления муниципальных образований Пермского края руководствоваться настоящим Указом при обработке персональных данных в информационных системах персональных данных, используемых в органах местного самоуправления муниципальных образований Пермского края.


3. Настоящий Указ вступает в силу через 10 дней после дня его официального опубликования.


4. Контроль за исполнением указа возложить на заместителя председателя Правительства Пермского края (по вопросам информационного развития, связи и туризма).


(п. 4 в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)



М.Г.РЕШЕТНИКОВ



Приложение
к Указу
губернатора
Пермского края
от 22.02.2018 N 13



ПОЛОЖЕНИЕ ОБ УГРОЗАХ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГУБЕРНАТОРА ПЕРМСКОГО КРАЯ, ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ ПЕРМСКОГО КРАЯ

(в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)




I. Общие положения


1.1. Настоящее Положение об угрозах безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Администрации губернатора Пермского края, исполнительных органах государственной власти Пермского края, определяет угрозы безопасности персональных данных (далее - ПДн), актуальные при обработке ПДн в информационных системах персональных данных (далее - ИСПДн), эксплуатируемых Администрацией губернатора Пермского края, исполнительными органами государственной власти Пермского края (далее - ОГВ).


(п. 1.1 в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)


1.2. Настоящее Положение предназначено для руководства ОГВ при решении следующих задач:


определение угроз безопасности ПДн, актуальных при обработке ПДн в ИСПДн;


проведение анализа защищенности ИСПДн от актуальных угроз безопасности ПДн;


проведение мероприятий по минимизации и (или) нейтрализации угроз безопасности ПДн;


модернизация системы защиты ИСПДн;


предотвращение несанкционированного воздействия на технические средства ИСПДн;


контроль за обеспечением уровня защищенности ИСПДн.


1.3. При определении угроз безопасности ПДн использованы следующие правовые акты, методические документы:


Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";


Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";


Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 1119);


Приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";


Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";


Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г.;


Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14 февраля 2008 г.;


Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, разработанные Министерством здравоохранения и социального развития Российской Федерации, 2009 г.;


Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли, согласованная с ФСТЭК России, ФСБ России и одобренная решением секции N 1 Научно-технического совета Минкомсвязи России "Научно-техническое и стратегическое развитие отрасли" от 21 апреля 2010 г. N 2;


Банк данных угроз безопасности информации, размещенный в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по адресу: http://bdu.fstec.ru.



II. Основные термины и определения


Понятия, используемые в настоящем Положении, применяются в значениях, определенных Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". В настоящем Положении применяются следующие сокращения:


АРМ - автоматизированное рабочее место;


ИС - информационная система;


КЗ - контролируемая зона;


СВТ - средства вычислительной техники;


СПО - системное программное обеспечение;


ППО - прикладное программное обеспечение;


СЗИ - средства защиты информации;


СКЗИ - средства криптографической защиты информации.



III. Определение актуальных угроз безопасности ПДн при разработке частной модели угроз ПДн


3.1. Под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИСПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия.


3.2. Угрозы безопасности ПДн в ИСПДн, приведенные в настоящем Положении, подлежат адаптации в ходе разработки частных моделей угроз безопасности ПДн при их обработке в ИСПДн.


3.3. В целях настоящего Положения под частной моделью угроз безопасности ПДн при их обработке в ИСПДн понимается модель угроз безопасности ПДн при их обработке в ИСПДн, учитывающая особенности обработки персональных данных в отдельном ОГВ.


3.4. В целях создания частной модели угроз безопасности ПДн определяется тип ИСПДн и группы угроз безопасности ПДн, актуальные для данного типа ИСПДн.


3.5. Тип ИСПДн определяется по результатам анализа структурно-функциональных характеристик ИСПДн, применяемых в ней информационных технологий и особенностей ее функционирования согласно разделу IV настоящего Положения.


3.6. Группы угроз безопасности ПДн в ИСПДн определяются в соответствии с типом ИСПДн согласно разделу VII настоящего Положения.


3.7. Расширенный перечень угроз безопасности ПДн в ИСПДн (по группам) представлен в приложении к настоящему Положению.


3.8. В частной модели угроз безопасности ПДн описываются ИСПДн и ее структурно-функциональные характеристики, угрозы безопасности ПДн, включающие описание возможностей нарушителя (модель нарушителя), возможных уязвимостей ИСПДн, способов реализации угроз безопасности ПДн и их последствия.



IV. Типы ИСПДн


Операторы ИСПДн создают и эксплуатируют ИСПДн в целях обработки ПДн. Ввод ПДн осуществляется как с бумажных носителей, так и с электронных носителей информации. ПДн субъектов могут выводиться из ИСПДн с целью передачи ПДн третьим лицам как в электронном, так и в бумажном виде.


Информационный обмен по сетям связи общего пользования и (или) сетям международного информационного обмена осуществляется с использованием сертифицированных средств криптографической защиты.


КЗ ИСПДн являются здания или отдельные помещения. В пределах КЗ находятся рабочие места пользователей, серверы, сетевое и телекоммуникационное оборудование ИСПДн. Вне КЗ находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.


В зависимости от структурно-функциональных характеристик такие ИСПДн подразделяются на:

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»