5.1. Учитывая особенности обработки ПДн в исполнительных органах области, а также категорию и объем обрабатываемых в ИСПДн персональных данных, основными характеристиками безопасности являются конфиденциальность, целостность и доступность.
(в ред. постановления Правительства Саратовской области от 04.08.2022 N 695-П)
Конфиденциальность - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.
Целостность - состояние защищенности информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность информации при попытках несанкционированных воздействий на нее в процессе обработки или хранения.
Доступность - состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
5.2. Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИС, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия. Для определения актуальных угроз безопасности из общего перечня угроз безопасности выбираются только те угрозы, которые являются актуальными для ИСПДн обеспечения типовой или специальной деятельности.
5.3. Угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, подразделяются на угрозы первого, второго, третьего типа. Для определения актуальных угроз безопасности из общего перечня угроз безопасности выбираются только те угрозы, которые являются актуальными для ИСПДн в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года. Большинство угроз безопасности персональным данным в ИСПДн государственных органов относится к третьему типу. Уровень защищенности ПДн в ИСПДн государственных органов не выше 3-го уровня защищенности (за исключением ИС регионального масштаба, обрабатывающих специальные категории ПДн).
5.4. Основной целью применения СКЗИ в ИСПДн государственных органов является защита ПДн при информационном обмене по сетям связи общего пользования и (или) сетям международного информационного обмена, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию.
5.5. В ИСПДн обеспечения типовой и специальной деятельности не используются отчуждаемые носители защищаемой информации, для которых несанкционированный доступ к хранимой на них информации не может быть исключен без использования криптографических методов и способов.
5.6. Основными видами угроз безопасности ПДн в ИСПДн являются:
а) угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель);
б) угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель);
в) угрозы, возникновение которых напрямую зависит от свойств техники и ПО, используемого в ИСПДн;
г) угрозы, возникающие в результате внедрения аппаратных закладок и вредоносных программ;