ПРАВИТЕЛЬСТВО САРАТОВСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 19 февраля 2016 года N 60-П
Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в исполнительных органах области, подведомственных им учреждениях и предприятиях
(с изменениями на 12 марта 2024 года)
(в ред. постановлений Правительства Саратовской области от 20.06.2016 N 304-П, от 19.10.2016 N 568-П, от 08.05.2020 N 370-П, от 20.07.2020 N 593-П, от 04.08.2022 N 695-П, от 12.03.2024 N 174-П)
В соответствии с частью 5 статьи 19 Федерального закона "О персональных данных" с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в исполнительных органах области, подведомственных им учреждениях и предприятиях, Правительство области постановляет:
(в ред. постановления Правительства Саратовской области от 04.08.2022 N 695-П)
1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных в исполнительных органах области, подведомственных им учреждениях и предприятиях, согласно приложению.
(в ред. постановления Правительства Саратовской области от 04.08.2022 N 695-П)
2. Рекомендовать органам местного самоуправления муниципальных образований области, подведомственным им учреждениям и предприятиям руководствоваться настоящим постановлением при определении угроз безопасности персональных данных, актуальных при обработке персональных данных в используемых ими информационных системах персональных данных.
3. Контроль за исполнением настоящего постановления возложить на вице-губернатора области - руководителя аппарата Губернатора области Пивоварова И.И.
(п. 3 в ред. постановления Правительства Саратовской области от 20.07.2020 N 593-П)
4. Министерству информации и печати области опубликовать настоящее постановление в течение десяти дней со дня его подписания.
5. Настоящее постановление вступает в силу через десять дней после дня его официального опубликования.
Губернатор
Саратовской области
В.В.РАДАЕВ
Приложение
к постановлению
Правительства Саратовской области
от 19 февраля 2016 г. N 60-П
УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫЕ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ОБЛАСТИ, ПОДВЕДОМСТВЕННЫХ ИМ УЧРЕЖДЕНИЯХ И ПРЕДПРИЯТИЯХ
(в ред. постановлений Правительства Саратовской области от 19.10.2016 N 568-П, от 08.05.2020 N 370-П, от 04.08.2022 N 695-П, от 12.03.2024 N 174-П)
1. Общие положения
1.1. Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных в исполнительных органах области, подведомственных им учреждениях и предприятиях, (далее - Актуальные угрозы безопасности) разработаны в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
(в ред. постановления Правительства Саратовской области от 04.08.2022 N 695-П)
1.2. Актуальные угрозы безопасности содержат перечень актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) в исполнительных органах области, входящих в структуру исполнительных органов Саратовской области, утвержденную постановлением Губернатора Саратовской области от 8 ноября 2017 года N 393, подведомственных им учреждениях и предприятиях (далее - государственные органы). Актуальные угрозы безопасности также содержат совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак на ИСПДн, в случае применения в них средств криптографической защиты информации для обеспечения безопасности персональных данных. Настоящие Актуальные угрозы безопасности применяются на этапах создания, модернизации ИСПДн для определения и оценки угроз безопасности персональных данных, а также в ходе эксплуатации ИСПДн при периодическом пересмотре актуальности угроз безопасности персональных данных.
(в ред. постановлений Правительства Саратовской области от 08.05.2020 N 370-П, от 04.08.2022 N 695-П)
1.3. Угрозы безопасности персональных данных, обрабатываемых в ИСПДн, приведенные в Актуальных угрозах безопасности, подлежат адаптации в ходе разработки операторами ИСПДн моделей угроз безопасности информации. Адаптация Актуальных угроз безопасности направлена на уточнение перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в ИСПДн. В процессе этой работы проводится анализ структурно-функциональных характеристик конкретной ИСПДн, применяемых в ней информационных технологий и особенностей ее функционирования и осуществляется исключение угроз безопасности, которые непосредственно связаны с информационными технологиями, не используемыми в ИСПДн, или структурно-функциональными характеристиками, не свойственными ИСПДн. По результатам анализа делается вывод об отнесении ИСПДн к одному из видов ИСПДн, приведенных в пункте 1.6 настоящего документа.
(в ред. постановлений Правительства Саратовской области от 08.05.2020 N 370-П, от 12.03.2024 N 174-П)
1.4. Утратил силу с 12 марта 2024 года. - Постановление Правительства Саратовской области от 12.03.2024 N 174-П.
1.5. Актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, содержащиеся в Актуальных угрозах безопасности ИСПДн, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в ИСПДн. Указанные изменения согласовываются головным подразделением с Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России) и Федеральной службой безопасности Российской Федерации в установленном порядке.
(в ред. постановления Правительства Саратовской области от 19.10.2016 N 568-П)
1.6. В государственных органах создаются и эксплуатируются однотипные и разноплановые информационные системы (далее - ИС), в которых могут обрабатываться персональные данные (далее - ПДн). В зависимости от предназначения ИСПДн подразделяются на:
1.6.1. ИСПДн обеспечения типовой деятельности, предназначенные для автоматизации обеспечивающей деятельности государственных органов в рамках исполнения ими типовых полномочий, предусмотренных нормативными правовыми актами. К ИСПДн обеспечения типовой деятельности относятся:
ИСПДн управление персоналом (учет кадров);
ИСПДн управление финансами (расчет заработной платы);
1.6.2. ИСПДн обеспечения специальной деятельности, предназначенные для автоматизации или информационной поддержки предоставления государственных услуг, исполнения государственных функций, предусмотренных нормативными правовыми актами Саратовской области в качестве полномочий конкретного государственного органа.
(п. 1.6.2 в ред. постановления Правительства Саратовской области от 08.05.2020 N 370-П)
1.7. Актуальные угрозы безопасности разработаны с использованием следующих документов:
Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 года (далее - Базовая модель угроз безопасности);
методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года;
методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденных руководителем 8-го Центра ФСБ России 31 марта 2015 года N 149/7/2/6-432.
(п. 1.7 введен постановлением Правительства Саратовской области от 08.05.2020 N 370-П)
1.8. Источником данных об угрозах безопасности информации, на основе которых определяются Актуальные угрозы безопасности, являются:
банк данных угроз безопасности информации ФСТЭК России (http://bdu.fstec.ru, далее - Банк данных угроз);
Базовая модель угроз безопасности.
(п. 1.8 введен постановлением Правительства Саратовской области от 08.05.2020 N 370-П)
2. ИСПДн обеспечения типовой деятельности
2.1. ИСПДн обеспечения типовой деятельности государственных органов характеризуются тем, что в качестве объектов информатизации выступают локальные автоматизированные рабочие места (далее - АРМ) или АРМ, подключенные к локальным вычислительным сетям, объединенные в объектовые ИСПДн, имеющие или не имеющие подключение к сетям общего пользования и (или) сетям международного информационного обмена. Ввод ПДн в ИСПДн осуществляется с бумажных носителей. ПДн субъектов могут выводиться из ИСПДн в электронном виде или на бумажных носителях.
2.2. Операторами ИСПДн обеспечения типовой деятельности являются государственные органы. Количество субъектов ПДн не превышает 100 тысяч. ПДн хранятся на учтенных машинных носителях информации (далее - МНИ), в качестве которых используются средства электронно-вычислительной техники.
2.3. ИСПДн управление персоналом предназначены для кадрового учета служащих и работников.
(в ред. постановления Правительства Саратовской области от 08.05.2020 N 370-П)
2.4. ИСПДн управление финансами предназначены для обработки ПДн, необходимых для бухгалтерского и финансового учета, представления информации в пенсионные фонды, налоговые органы, органы обязательного социального страхования.
(в ред. постановления Правительства Саратовской области от 08.05.2020 N 370-П)
2.5. Информационный обмен по сетям передачи данных общего пользования и (или) сетям международного информационного обмена осуществляется с использованием сертифицированных средств криптографической защиты информации (далее - СКЗИ). Контролируемой зоной (далее - КЗ) ИСПДн являются служебные здания государственных органов или отдельные помещения в этих зданиях. В пределах КЗ находятся АРМ пользователей ИСПДн, серверы ИСПДн, телекоммуникационное оборудование и аппаратные средства защиты информации ИСПДн. Вне КЗ находятся линии передачи данных и телекоммуникационное оборудование операторов связи, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.
2.6. В ИСПДн обеспечения типовой деятельности применяются следующие меры по защите ПДн и СКЗИ:
