Постановление Правительства Магаданской области от 5 октября 2017 г. N 870-пп

"Об утверждении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных исполнительных органов государственной власти Магаданской области и их подведомственных учреждений, структурных подразделений Правительства Магаданской области"

В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", в целях обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных структурных подразделений Правительства Магаданской области, исполнительных органах государственной власти Магаданской области и их подведомственных учреждений, Правительство Магаданской области постановляет:

1. Утвердить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных исполнительных органов государственной власти Магаданской области и их подведомственных учреждений, структурных подразделений Правительства Магаданской области, согласно приложению к настоящему постановлению.

2. Исполнительным органам государственной власти Магаданской области и их подведомственным учреждениям, структурным подразделениям Правительства Магаданской области при разработке систем защиты персональных данных, используемых в информационных системах персональных данных, учитывать угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, утвержденные настоящим постановлением.

3. Рекомендовать органам местного самоуправления муниципальных образований Магаданской области и их подведомственным учреждениям:

- определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, используемых в органах местного самоуправления муниципальных образований Магаданской области и их подведомственных учреждениях;

- при определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, используемых в органах местного самоуправления муниципальных образований Магаданской области и их подведомственных учреждениях, руководствоваться настоящим постановлением.

4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Правительства Магаданской области Белозерцева А.Н.

5. Настоящее постановление подлежит официальному опубликованию.

Губернатор Магаданской области                                        В. Печеный

Утверждены

постановлением Правительства

Магаданской области

от "05" октября 2017 г. N 870-пп

Угрозы безопасности

персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных исполнительных органов государственной власти Магаданской области и их подведомственных учреждений, структурных подразделений Правительства Магаданской области

1. Настоящий документ определяет перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных исполнительных органов государственной власти Магаданской области и их подведомственных учреждений, структурных подразделений Правительства Магаданской области при осуществлении ими соответствующих видов деятельности с учетом содержания персональных данных, характера и способов их обработки.

2. В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенные в установленном порядке к сведениям, составляющим государственную тайну.

3. В настоящем документе используются термины и понятия, установленные Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Методикой определения актуальных угроз безопасности персональных данных, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю Российской Федерации от 14 февраля 2008 года.

4. Под угрозами безопасности персональных данных при их обработке в информационных системах персональных данных исполнительных органов государственной власти Магаданской области и их подведомственных учреждений, структурных подразделений Правительства Магаданской области понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия (далее - Угрозы безопасности).

5. Угрозами безопасности персональных данных в информационных системах персональных данных являются:

5.1. Угроза "кражи" учетной записи доступа к сетевым сервисам.

5.2. Угроза "фарминга".

5.3. Угроза "фишинга".

5.4. Угроза "форсированного веб-браузинга".

5.5. Угроза аппаратного сброса пароля BIOS.

5.6. Угроза внедрения вредоносного кода в дистрибутив программного обеспечения.

5.7. Угроза восстановления аутентификационной информации.

5.8. Угроза восстановления предыдущей уязвимой версии BIOS.

5.9. Угроза деавторизации санкционированного клиента беспроводной сети.

5.10. Угроза заражения компьютера при посещении неблагонадёжных сайтов.

5.11. Угроза использования информации идентификации/ аутентификации, заданной по умолчанию.

5.12. Угроза использования механизмов авторизации для повышения привилегий.

5.13. Угроза использования уязвимых версий программного обеспечения.

5.14. Угроза нарушения изоляции среды исполнения BIOS.

5.15. Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия.

5.16. Угроза нарушения целостности данных кэша.

5.17. Угроза невозможности управления правами пользователей BIOS.

5.18. Угроза недобросовестного исполнения обязательств поставщиками облачных услуг.

5.19. Угроза незащищённого администрирования облачных услуг.

5.20. Угроза некачественного переноса инфраструктуры в облако.

5.21. Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера.

5.22. Угроза неопределённости ответственности за обеспечение безопасности облака.

5.23. Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью.

5.24. Угроза неправомерного ознакомления с защищаемой информацией.

5.25. Угроза неправомерного шифрования информации.

5.26. Угроза несанкционированного восстановления удалённой защищаемой информации.

5.27. Угроза несанкционированного доступа к аутентификационной информации.

5.28. Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети.

5.29. Угроза несанкционированного доступа к системе по беспроводным каналам.

5.30. Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети.

5.31. Угроза несанкционированного изменения аутентификационной информации.

5.32. Угроза несанкционированного изменения параметров настройки средств защиты информации.

5.33. Угроза несанкционированного использования привилегированных функций BIOS.

5.34. Угроза несанкционированного копирования защищаемой информации.

5.35. Угроза несогласованности политик безопасности элементов облачной инфраструктуры.

5.36. Угроза обхода некорректно настроенных механизмов аутентификации.

5.37. Угроза перехвата данных, передаваемых по вычислительной сети.

5.38. Угроза подбора пароля BIOS.

5.39. Угроза потери и утечки данных, обрабатываемых в облаке.

5.40. Угроза программного сброса пароля BIOS.

5.41. Угроза распространения "почтовых червей".

5.42. Угроза скрытного включения вычислительного устройства в состав бот-сети.

5.43. Угроза удаления аутентификационной информации.

5.44. Угроза утраты носителей информации.

5.45. Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации.

6. Исполнительным органам государственной власти Магаданской области и их подведомственным учреждениям, структурным подразделениям Правительства Магаданской области необходимо руководствоваться положениями настоящего документа при решении следующих задач:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- анализ защищенности информационных систем персональных данных от актуальных угроз безопасности персональных данных в ходе выполнения мероприятий по информационной безопасности;

- проведение мероприятий по минимизации и/или нейтрализации угроз безопасности персональных данных;

- предотвращение несанкционированного воздействия на технические средства информационных систем персональных данных;

- контроль за обеспечением уровня защищенности персональных данных.

7. Угрозы безопасности подлежат адаптации в ходе разработки частных моделей угроз безопасности персональных данных.

8. Угрозы безопасности уточняются и дополняются по мере выявления актуальных угроз, развития способов и средств реализации угроз безопасности персональных данных в информационных системах персональных данных.

9. Актуальность Угроз безопасности, возникающих в случае использования средств криптографической защиты информации для защиты персональных данных при обработке персональных данных в информационных системах персональных данных исполнительных органов государственной власти Магаданской области, следует определять дополнительно.

10. При обработке персональных данных в информационных системах персональных данных исполнительные органы государственной власти Магаданской области и их подведомственные учреждения, структурные подразделения Правительства Магаданской области применяют правовые, организационные и технические меры, направленные на минимизацию угроз безопасности персональных данных в информационных системах персональных данных.

11. Реализация правовых, организационных и технических мер, направленных на минимизацию Угроз безопасности осуществляется специалистами по информационной безопасности исполнительных органов государственной власти Магаданской области и их подведомственных учреждений, структурных подразделений Правительства Магаданской области, ответственными за планирование, организацию и реализацию мероприятий по обеспечению информационной безопасности.