Постановление Администрации Липецкой области от 02.04.2018 № 263
Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных администрации Липецкой области
ПОСТАНОВЛЕНИЕ
АДМИНИСТРАЦИИЛИПЕЦКОЙ ОБЛАСТИ
| 02.04.2018г. | г.Липецк | N 263 |
Об определении угрозбезопасности персональных данных,
актуальных при обработкеперсональных данных
в информационных системахперсональных данных администрации
Липецкой области
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля2006 года N 152-ФЗ "О персональных данных", по согласованию сФедеральной службой по техническому и экспортному контролю от 27.02.2018 N240/22/803 и Федеральной службой безопасности Российской Федерации от08.02.2018 N 1071-фв администрация Липецкой области постановляет:
Определитьугрозы безопасности персональных данных, актуальные при обработке персональныхданных в информационных системах персональных данных администрации Липецкойобласти (приложение).
| Глава администрации Липецкой области | О.П.Королев |
Приложение
кпостановлению
администрацииЛипецкой области
"Обопределении угроз
безопасностиперсональных
данных,актуальных при обработке
персональныхданных
винформационных системах
персональныхданных администрации
Липецкойобласти"
УГРОЗЫБЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫЕ
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ВИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ АДМИНИСТРАЦИИЛИПЕЦКОЙ ОБЛАСТИ
1. Угрозами безопасности персональных данных, актуальными приобработке персональных данных в информационных системах персональных данныхадминистрации Липецкой области (далее - ИСПДн),являются:
угрозыбезопасности персональных данных, защищаемых без использования средствкриптографической защиты информации (далее - СКЗИ);
угрозыцеленаправленных действий с использованием аппаратных и (или) программныхсредств с целью нарушения безопасности персональных данных, защищаемых сиспользованием СКЗИ, или создания условий для этого.
2. Угрозыбезопасности персональных данных, защищаемых без использования СКЗИ, включают:
1) угрозывоздействия вредоносного кода и (или) вредоносных программ (вирусов), внешнихпо отношению к ИСПДн;
2) угрозыперехвата передаваемой из ИСПДн и принимаемой извнешних сетей информации за пределами контролируемой зоны (далее - КЗ);
3) угрозынесанкционированного доступа к информации через сети международного обмена;
4) угрозыразглашения информации, ее модификации или уничтожения сотрудниками,допущенными к ее обработке;
5) угрозыиспользования методов социального инжиниринга к лицам, обладающим полномочиямив ИСПДн;
6) угрозынесанкционированного доступа к отчуждаемым носителям персональных данных,включая переносные персональные компьютеры пользователей ИСПДн;
7) угрозыутраты (потери) носителей персональных данных и аппаратных средств, включаяпереносные персональные компьютеры пользователей ИСПДн;
8) угрозынесанкционированного доступа к персональным данным лицами, обладающимиполномочиями в ИСПДн, в том числе в ходе создания,эксплуатации, технического обслуживания и (или) ремонта, модернизации, выводаиз эксплуатации ИСПДн;
9) угрозынесанкционированного доступа к персональным данным лицами, не обладающимиполномочиями в ИСПДн, с использованием уязвимостей ворганизации защиты персональных данных;
10) угрозынесанкционированного доступа к персональным данным лицами, не обладающимиполномочиями в ИСПДн, с использованием уязвимостей впрограммном обеспечении ИСПДн;
11) угрозынесанкционированного доступа к персональным данным лицами, не обладающимиполномочиями в ИСПДн, с использованием уязвимостей вобеспечении защиты сетевого взаимодействия и каналов передачи данных, в томчисле с использованием протоколов межсетевого взаимодействия;
12) угрозынесанкционированного доступа к персональным данным лицами, не обладающимиполномочиями в ИСПДн, с использованием уязвимостей вобеспечении защиты вычислительных сетей ИСПДн;
13) угрозынесанкционированного доступа к персональным данным лицами, не обладающимиполномочиями в ИСПДн, с использованием уязвимостей,вызванных несоблюдением требований по эксплуатации средств защиты информации;
14) угрозысканирования, направленные на выявление типа или типов используемыхоперационных систем, сетевых адресов рабочих станций ИСПДн,топологии сети, открытых портов и служб, открытых соединений;
15) угрозы,связанные с возможностями использования новых информационных технологий(технологии виртуализации, беспроводные технологии, облачные технологии,технологии удаленного доступа и иные новые технологии);
16) угрозы,связанные с особенностями функционирования технических, программно-техническихи программных средств, обеспечивающих хранение, обработку и передачуинформации.
3. Угрозыцеленаправленных действий с использованием аппаратных и (или) программныхсредств с целью нарушения безопасности персональных данных, защищаемых сиспользованием СКЗИ, или создания условий для этого определяются актуальностьюиспользования возможностей источников атак <*>.
<*>Состав и содержание организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационных системахперсональных данных с использованием средств криптографической защитыинформации, необходимых для выполнения установленных Правительством РоссийскойФедерации требований к защите персональных данных для каждого из уровнейзащищенности, утвержденные приказом ФСБ России от 10 июля 2014 года N 378.
Оценка возможностей источников атак
Таблица1
| N п/п | Обобщенные возможности источников атак | Да/нет |
| 1. | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами КЗ | да |
| 2. | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах КЗ, но без физического доступа к аппаратным средствам (далее - АС), на которых реализованы СКЗИ и среда их функционирования (далее - СФ) | да |
| 3. | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах КЗ с физическим доступом к АС, на которых реализованы СКЗИ и СФ | нет |
| 4. | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ) | нет |
| 5. | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения) | нет |
| 6. | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов СФ СКЗИ) | нет |
Актуальность использования возможностей источников атак
Таблица2
| N п/п | Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Актуальность использования (применения) для построения и реализации атак | Обоснование отсутствия |
| 1. | Проведение атаки при нахождении в пределах КЗ | актуально | |
| 2. | Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты СФ помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ | не актуально | проводятся работы по подбору персонала; доступ в КЗ, где располагается СКЗИ, обеспечивается в соответствии с контрольно-пропускным режимом; документация на СКЗИ хранится у ответственного за СКЗИ в металлическом шкафу; помещения, в которых располагаются СКЗИ, оснащены дверями с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ |
| 3. | Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; сведений о мерах по обеспечению КЗ объектов, в которых размещены ресурсы информационной системы; сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ | не актуально | проводятся работы по подбору персонала; доступ в КЗ и помещения, где располагаются ресурсы ИСПДн, обеспечивается в соответствии с контрольно-пропускным режимом; сведения о физических мерах защиты объектов, в которых размещены ИСПДн, доступны ограниченному кругу сотрудников; сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации |
| 4. | Использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется ИСПДн, и направленными на предотвращение и пресечение несанкционированных действий | не актуально | проводятся работы по подбору персонала; помещения, в которых располагаются СВТ, на которых реализованы СКЗИ и СФ, оснащены входными дверями с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации; осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам; осуществляется регистрация и учет действий пользователей; в ИСПДн используются: сертифицированные средства защиты информации от несанкционированного доступа; сертифицированные средства антивирусной защиты |
| 5. | Физический доступ к СВТ, на которых реализованы СКЗИ и СФ | не актуально | проводятся работы по подбору персонала; доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода |
| 6. | Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | не актуально | проводятся работы по подбору персонала; доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации |
| 7. | Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения (далее - ПО) | не актуально | не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности; доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации; осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам; осуществляется регистрация и учет действий пользователей; на автоматизированных рабочих местах (далее - АРМ) и серверах, на которых установлены СКЗИ: используются сертифицированные средства защиты информации от несанкционированного доступа; используются сертифицированные средства антивирусной защиты |
| 8. | Проведение лабораторных исследований СКЗИ, используемых вне КЗ, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | не актуально | не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности |
| 9. | Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в т.ч. с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ | не актуально | не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности |
| 10. | Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО | не актуально | применяется сертифицированное системное ПО; не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности; доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации; осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам; осуществляется регистрация и учет действий пользователей; на АРМ и серверах, на которых установлены СКЗИ: используются сертифицированные средства защиты информации от несанкционированного доступа; используются сертифицированные средства антивирусной защиты |
| 11. | Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ | не актуально | не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности |
| 12. | Возможность воздействовать на любые компоненты СКЗИ и СФ | не актуально | не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности |