ГЛАВА РЕСПУБЛИКИ БАШКОРТОСТАН
УКАЗ
от 18 февраля 2019 года N УГ-40
Об утверждении Положения об угрозах безопасности персональных данных, актуальных при их обработке в информационных системах государственных органов Республики Башкортостан и (или) подведомственных им организаций
(в редакции Указа Главы Республики Башкортостан от 30.12.2020 N УГ-611)
В соответствии с частью 5 статьи 19 Федерального закона "О персональных данных" постановляю:
1. Утвердить Положение об угрозах безопасности персональных данных, актуальных при их обработке в информационных системах государственных органов Республики Башкортостан и (или) подведомственных им организаций согласно приложению к настоящему Указу.
2. Рекомендовать органам местного самоуправления Республики Башкортостан руководствоваться настоящим Указом при разработке и принятии аналогичных нормативных правовых актов.
3. Контроль за исполнением настоящего Указа возложить на Администрацию Главы Республики Башкортостан.
Временно исполняющий
обязанности Главы
Республики Башкортостан
Р.ХАБИРОВ
Уфа, Дом Республики
18 февраля 2019 года
N УГ-40
Приложение
к Указу Главы
Республики Башкортостан
от 18 февраля 2019 г. N УГ-40
ПОЛОЖЕНИЕ ОБ УГРОЗАХ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ГОСУДАРСТВЕННЫХ ОРГАНОВ РЕСПУБЛИКИ БАШКОРТОСТАН И (ИЛИ) ПОДВЕДОМСТВЕННЫХ ИМ ОРГАНИЗАЦИЙ
(в ред. Указа Главы Республики Башкортостан от 30.12.2020 N УГ-611)
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящее Положение определяет перечень угроз безопасности персональных данных, актуальных при их обработке в информационных системах государственных органов Республики Башкортостан и (или) подведомственных им организаций (далее - органы и организации) при осуществлении ими соответствующих видов деятельности с учетом содержания, характера и способов обработки персональных данных.
В настоящем Положении используются следующие термины и их определения:
персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту ПДн);
информационная система персональных данных (далее - ИСПДн) - совокупность информационных технологий и технических средств, содержащихся в базах данных и обеспечивающих обработку ПДн;
оператор ИСПДн - государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно либо совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием либо без использования средств автоматизации с ПДн, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение;
безопасность ПДн - состояние защищенности ПДн, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн;
конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия субъекта ПДн либо наличия иного законного основания;
несанкционированный доступ (далее - НСД) - доступ к информации или действия с ней, осуществляемые с нарушением установленных прав и (или) правил доступа к информации либо действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
доступ к информации - возможность ее получения и использования;
пользователь ИСПДн - лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования;
правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к его объектам;
информационный ресурс - часть ИСПДн, хранящая ПДн в файлах (базах данных) и (или) обеспечивающая доступ пользователей к ИСПДн;
средства вычислительной техники (далее - СВТ) - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем;
средства криптографической защиты информации (далее - СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функции выработки и проверки электронной подписи;
среда функционирования СКЗИ (далее - СФ) - СКЗИ и компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ;
угрозы безопасности персональных данных (далее - УБПДн) - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатами которого могут стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий при обработке ПДн в ИСПДн;
нарушитель безопасности ПДн - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в ИСПДн;
целостность информации - способность СВТ или информационной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного ее искажения (разрушения);
доступность информации - состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно;
государственная доверенная инфокоммуникационная инфраструктура Республики Башкортостан (далее - ГДИИ РБ) - единая инфраструктура, реализующая пространство электронного взаимодействия и обеспечивающая предоставление инфокоммуникационных услуг (сервисов) на основе доверенных сетей связи;
оператор ГДИИ РБ - организация, в ведении которой находится ГДИИ РБ и которая обеспечивает сопровождение, администрирование и модернизацию ГДИИ РБ, а также защиту обрабатываемой в ней информации;
координатор ГДИИ РБ - Министерство цифрового развития государственного управления Республики Башкортостан, регулирующий вопросы подключения к ГДИИ РБ, государственный заказчик работ, связанных с развитием и сопровождением ГДИИ РБ;
(в ред. Указа Главы Республики Башкортостан от 30.12.2020 N УГ-611)
республиканский центр обработки данных (далее - РЦОД) - основной сегмент инфраструктуры хранения и обработки данных, обеспечивающий защищенное хранение и обработку информации, содержащейся в информационных системах органов государственной власти Республики Башкортостан и в иных информационных системах;
системное программное обеспечение (далее - СПО) - совокупность программ для управления аппаратурой компьютера и обеспечения работы прикладных программ;
прикладное программное обеспечение (далее - ППО) - совокупность программ для решения прикладных задач (задач пользователя);
носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;
идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
вредоносное программное обеспечение - программа, предназначенная для осуществления НСД и (или) воздействия на ПДн либо ресурсы ИСПДн;
недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и (или) целостности обрабатываемой информации;
уровень защищенности ПДн - комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности ИСПДн.
Настоящее Положение разработано в соответствии со следующими нормативными актами и руководящими документами:
Федеральным законом "Об информации, информационных технологиях и о защите информации";
Федеральным законом "О персональных данных";
Приказом Федеральной службы по техническому и экспертному контролю (далее - ФСТЭК России) от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (с изменениями, внесенными Приказом ФСТЭК России от 15 февраля 2017 года N 27);
Приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (с изменениями, внесенными Приказом ФСТЭК России от 23 марта 2017 года N 49);
методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14 февраля 2008 года;
базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 15 февраля 2008 года;
методическим документом "Меры защиты информации в государственных информационных системах", утвержденным ФСТЭК России 11 февраля 2014 года;
Приказом Федеральной службы безопасности Российской Федерации (далее - ФСБ России) от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
