1.1. Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (далее - ИСПДн) в Департаменте здравоохранения Курганской области (далее соответственно - Департамент, Перечень актуальных угроз безопасности персональных данных) и подведомственных ему учреждениях, организациях, разработан в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
Перечень актуальных угроз безопасности персональных данных необходимо учитывать при разработке частной модели угроз безопасности персональных данных (далее соответственно - частная модель угроз, ПДн) и других документов Департамента и подведомственных ему учреждений, организаций.
1.2. В частной модели угроз указываются:
описание ИСПДн и их структурно-функциональных характеристик;
описание угроз безопасности информации, включающее описание возможностей нарушителя (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Типовая форма частной модели угроз для Департамента разрабатывается специалистом по защите информации с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17.
1.3. Актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, содержащиеся в Перечне актуальных угроз безопасности персональных данных, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в ИСПДн. Указанные изменения согласовываются с Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России) и Федеральной службой безопасности Российской Федерации (далее - ФСБ) в установленном порядке.
1.4. В Департаменте создаются и эксплуатируются однотипные и разноплановые информационные системы (далее - ИС), в которых могут обрабатываться ПДн. В зависимости от предназначения ИСПДн подразделяются на:
1.4.1. ИСПДн обеспечения типовой деятельности Департамента, предназначенные для автоматизации обеспечивающей деятельности Департамента в рамках исполнения им типовых полномочий, предусмотренных нормативными правовыми актами.
К ИСПДн обеспечения типовой деятельности Департамента относятся:
- ИСПДн управления персоналом (учет кадров);
- ИСПДн управления финансами (расчет заработной платы).
1.4.2. ИСПДн обеспечения специальной деятельности Департамента, предназначенные для автоматизации или информационной поддержки предоставления услуг, предусмотренных правовыми актами в Департаменте в качестве полномочий конкретного органа исполнительной власти.
К ИСПДн обеспечения специальной деятельности относятся: