Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных государственной информационной системы "Единая информационная система Федеральной службы по финансовому мониторингу", эксплуатируемых при осуществлении Федеральной службой по финансовому мониторингу и ее территориальными органами функций, определенных Указом Президента Российской Федерации от 13 июня 2012 г. N 808 "Вопросы Федеральной службы по финансовому мониторингу"
Приложение
к приказу
Федеральной службы
по финансовому мониторингу
от 6 февраля 2019 года N 30
Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных государственной информационной системы "Единая информационная система Федеральной службы по финансовому мониторингу", эксплуатируемых при осуществлении Федеральной службой по финансовому мониторингу и ее территориальными органами функций, определенных Указом Президента Российской Федерации от 13 июня 2012 г. N 808 "Вопросы Федеральной службы по финансовому мониторингу"
1. Угрозами безопасности персональных данных, актуальными при обработке персональных данных в информационных системах персональных данных, являющихся подсистемами государственной информационной системы "Единая информационная система Федеральной службы по финансовому мониторингу", эксплуатируемых при осуществлении Федеральной службой по финансовому мониторингу и ее территориальными органами функций по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, а также функции национального центра по оценке угроз национальной безопасности, возникающих в результате совершения операций (сделок) с денежными средствами или иным имуществом, и по выработке мер противодействия этим угрозам (далее - информационные системы) являются:
________________
Государственная информационная система "Единая информационная система Федеральной службы по финансовому мониторингу" создана на основании пункта 18 Положения о Федеральной службе по финансовому мониторингу, утвержденного Указом Президента Российской Федерации от 13 июня 2012 г. N 808 "Вопросы Федеральной службы по финансовому мониторингу".
угрозы безопасности персональных данных, защищаемых без использования средств криптографической защиты информации (далее - СКЗИ);
угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого.
________________
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ России от 10.07.2014 N 378 (зарегистрирован Минюстом России 18.08.2014, регистрационный N 33620).
2. Угрозы безопасности персональных данных, защищаемых без использования СКЗИ, включают:
1) угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
2) угрозы несанкционированного доступа (воздействия) к персональным данным лиц, обладающих полномочиями в информационных системах, в том числе в ходе создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации информационных систем и дальнейшего хранения содержащейся в их базах данных информации;
3) угрозы воздействия вредоносного кода и (или) вредоносной программы, внешних по отношению к информационным системам;
4) угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем;
5) угрозы несанкционированного доступа (воздействия) к персональным данным лиц, не обладающих полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, в том числе с использованием протоколов межсетевого взаимодействия;
6) угрозы несанкционированного доступа (воздействия) к персональным данным лиц, не обладающих полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;
7) угрозы несанкционированного доступа (воздействия) к персональным данным лиц, не обладающих полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации лицами, обладающими административными полномочиями в информационных системах;
8) угрозы, связанные с возможностью использования новых информационных технологий.
3. Угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого (далее - атака) включают:
1) угрозы проведения атаки вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона);
2) угрозы проведения на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ атаки путем внесения несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и которые в совокупности представляют среду функционирования СКЗИ (далее - СФ), а также которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
3) угрозы проведения атак на этапе эксплуатации СКЗИ на:
а) ключевую, аутентифицирующую и парольную информацию СКЗИ;
б) программные компоненты СКЗИ;
в) аппаратные компоненты СКЗИ;
г) программные компоненты СФ, включая базовую систему ввода (вывода);
д) аппаратные компоненты СФ;
е) данные, передаваемые по каналам связи;