(с изменениями на 20 декабря 2022 года)
(в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Администрации губернатора Пермского края, исполнительных органах государственной власти Пермского края, постановляю:
(в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)
1. Утвердить Положение об угрозах безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Администрации губернатора Пермского края, исполнительных органах государственной власти Пермского края.
(в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)
2. Рекомендовать органам местного самоуправления муниципальных образований Пермского края руководствоваться настоящим Указом при обработке персональных данных в информационных системах персональных данных, используемых в органах местного самоуправления муниципальных образований Пермского края.
3. Настоящий Указ вступает в силу через 10 дней после дня его официального опубликования.
4. Контроль за исполнением указа возложить на заместителя председателя Правительства Пермского края (по вопросам информационного развития, связи и туризма).
(п. 4 в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)
М.Г.РЕШЕТНИКОВ
ПОЛОЖЕНИЕ ОБ УГРОЗАХ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГУБЕРНАТОРА ПЕРМСКОГО КРАЯ, ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ ПЕРМСКОГО КРАЯ
(в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)
1.1. Настоящее Положение об угрозах безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Администрации губернатора Пермского края, исполнительных органах государственной власти Пермского края, определяет угрозы безопасности персональных данных (далее - ПДн), актуальные при обработке ПДн в информационных системах персональных данных (далее - ИСПДн), эксплуатируемых Администрацией губернатора Пермского края, исполнительными органами государственной власти Пермского края (далее - ОГВ).
(п. 1.1 в ред. Указа Губернатора Пермского края от 20.12.2022 N 120)
1.2. Настоящее Положение предназначено для руководства ОГВ при решении следующих задач:
определение угроз безопасности ПДн, актуальных при обработке ПДн в ИСПДн;
проведение анализа защищенности ИСПДн от актуальных угроз безопасности ПДн;
проведение мероприятий по минимизации и (или) нейтрализации угроз безопасности ПДн;
модернизация системы защиты ИСПДн;
предотвращение несанкционированного воздействия на технические средства ИСПДн;
контроль за обеспечением уровня защищенности ИСПДн.
1.3. При определении угроз безопасности ПДн использованы следующие правовые акты, методические документы:
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 1119);
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г.;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14 февраля 2008 г.;
Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, разработанные Министерством здравоохранения и социального развития Российской Федерации, 2009 г.;
Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли, согласованная с ФСТЭК России, ФСБ России и одобренная решением секции N 1 Научно-технического совета Минкомсвязи России "Научно-техническое и стратегическое развитие отрасли" от 21 апреля 2010 г. N 2;
Банк данных угроз безопасности информации, размещенный в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по адресу: http://bdu.fstec.ru.
Понятия, используемые в настоящем Положении, применяются в значениях, определенных Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". В настоящем Положении применяются следующие сокращения:
АРМ - автоматизированное рабочее место;
ИС - информационная система;
КЗ - контролируемая зона;
СВТ - средства вычислительной техники;
СПО - системное программное обеспечение;
ППО - прикладное программное обеспечение;
СЗИ - средства защиты информации;
СКЗИ - средства криптографической защиты информации.
3.1. Под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИСПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия.
3.2. Угрозы безопасности ПДн в ИСПДн, приведенные в настоящем Положении, подлежат адаптации в ходе разработки частных моделей угроз безопасности ПДн при их обработке в ИСПДн.
3.3. В целях настоящего Положения под частной моделью угроз безопасности ПДн при их обработке в ИСПДн понимается модель угроз безопасности ПДн при их обработке в ИСПДн, учитывающая особенности обработки персональных данных в отдельном ОГВ.
3.4. В целях создания частной модели угроз безопасности ПДн определяется тип ИСПДн и группы угроз безопасности ПДн, актуальные для данного типа ИСПДн.
3.5. Тип ИСПДн определяется по результатам анализа структурно-функциональных характеристик ИСПДн, применяемых в ней информационных технологий и особенностей ее функционирования согласно разделу IV настоящего Положения.
3.6. Группы угроз безопасности ПДн в ИСПДн определяются в соответствии с типом ИСПДн согласно разделу VII настоящего Положения.
3.7. Расширенный перечень угроз безопасности ПДн в ИСПДн (по группам) представлен в приложении к настоящему Положению.
3.8. В частной модели угроз безопасности ПДн описываются ИСПДн и ее структурно-функциональные характеристики, угрозы безопасности ПДн, включающие описание возможностей нарушителя (модель нарушителя), возможных уязвимостей ИСПДн, способов реализации угроз безопасности ПДн и их последствия.
Операторы ИСПДн создают и эксплуатируют ИСПДн в целях обработки ПДн. Ввод ПДн осуществляется как с бумажных носителей, так и с электронных носителей информации. ПДн субъектов могут выводиться из ИСПДн с целью передачи ПДн третьим лицам как в электронном, так и в бумажном виде.
Информационный обмен по сетям связи общего пользования и (или) сетям международного информационного обмена осуществляется с использованием сертифицированных средств криптографической защиты.
КЗ ИСПДн являются здания или отдельные помещения. В пределах КЗ находятся рабочие места пользователей, серверы, сетевое и телекоммуникационное оборудование ИСПДн. Вне КЗ находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.
В зависимости от структурно-функциональных характеристик такие ИСПДн подразделяются на: