Постановление Правительства Иркутской области от 10.10.2016 № 655-пп

 

 

 

 

ПРАВИТЕЛЬСТВОИРКУТСКОЙ ОБЛАСТИ

 

П О С Т А Н О В Л Е Н И Е

 

 

10октября 2016 года              Иркутск                              № 655-пп

 

 

О Перечне угроз безопасности персональныхданных, актуальных при их обработке в информационных системах персональныхданных исполнительных органов государственной власти Иркутской области

 

 

В целях достиженияобеспечения безопасности персональных данных, в соответствии с пунктом 1 части2, частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «Оперсональных данных», постановлением Правительства РоссийскойФедерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защитеперсональных данных при их обработке в информационных системах персональныхданных», учитываяБазовую модель угроз безопасности персональных данных при их обработке винформационных системах персональных данных, утвержденную заместителемдиректора Федеральной службы по техническому и экспортному контролю РоссийскойФедерации 15 февраля 2008 года, руководствуясьчастью 4 статьи 66, статьей 67 Устава Иркутской области, ПравительствоИркутской области

П О СТ А Н О В Л Я Е Т:

1.Утвердить Перечень угроз безопасности персональных данных, актуальных при ихобработке в информационных системах персональных данных исполнительных органовгосударственной власти Иркутской области (далее – Перечень) (прилагается).

2.Перечень, утвержденный настоящим постановлением, подлежит учету исполнительнымиорганами государственной власти Иркутской области при разработке частныхмоделей угроз безопасности персональных данных при их обработке винформационных системах персональных данных исполнительных органовгосударственной власти Иркутской области.

3. Настоящеепостановление подлежит официальному опубликованию на«Официальном интернет-портале правовой информации» ( www . pravo . gov . ru ).

 

 

Исполняющийобязанности

первогозаместителя Губернатора

Иркутской области– Председателя

Правительства Иркутскойобласти                                                     Р.Н. Болотов

УТВЕРЖДЕН

ПостановлениемПравительства

Иркутской области

от 10 октября 2016 года № 655-пп

 

ПЕРЕЧЕНЬ

УГРОЗ БЕЗОПАСНОСТИПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ИХ

ОБРАБОТКЕ ВИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

ИСПОЛНИТЕЛЬНЫХОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ ИРКУТСКОЙ

ОБЛАСТИ

 

Угрозынесанкционированного доступа на рабочих местах, связанные с действияминарушителей, имеющих доступ к информационным системам персональных данных,включая пользователей информационных систем персональных данных, реализующиеугрозы непосредственно в информационных системах персональных данных.

Угрозы, реализуемыев ходе загрузки операционной системы и направленные на перехват паролей илиидентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехватуправления загрузкой.

Угрозы, реализуемыепосле загрузки операционной системы и направленные на выполнениенесанкционированного доступа с применением стандартных функций (уничтожение,копирование, перемещение, форматирование носителей информации и тому подобное)операционной системы или какой-либо прикладной программы (например, системыуправления базами данных), с применением специально созданных для выполнениянесанкционированного доступа программ (программ просмотра и модификацииреестра, поиска текстов в текстовых файлах и тому подобное).

Угрозы внедрениявредоносных программ.

Угрозы выявленияпаролей.

Угрозы типа «Отказв обслуживании».

Угрозы удаленногозапуска приложений.

Угрозы внедрения посети вредоносных программ.

Угрозы «Анализасетевого трафика» с перехватом передаваемой из информационных системперсональных данных и принимаемой в информационные системы персональных данныхиз внешних сетей информации.

Угрозысканирования, направленные на выявление типа или типов используемыхоперационных систем, сетевых адресов рабочих станций информационных системперсональных данных, топологии сети, открытых портов и служб, открытыхсоединений и другое.

Угрозы внедренияложного объекта, как в информационные системы персональных данных, так и вовнешних сетях.

Угрозы подменыдоверенного объекта.

Угрозы навязыванияложного маршрута путем несанкционированного изменения маршрутно-адресныхданных, как внутри сети, так и во внешних сетях.

Угрозы среды виртуализации.

Угрозы утечкивидовой информации.

Угрозы реализации целенаправленных действийс использованием аппаратных и (или) программных средств, с целью нарушениябезопасности защищаемых средствами криптографической защиты информации (далее –СКЗИ) персональных данных или создания условий для этого (далее - атака) принахождении в пределах контролируемой зоны.

Угрозы проведения атаки на этапеэксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ и компоненты средыфункционирования (далее - СФ) СКЗИ;

помещения, в которых находится совокупностьпрограммных и технических элементов систем обработки данных, способныхфункционировать самостоятельно или в составе других систем (далее - СВТ), накоторых реализованы СКЗИ и СФ.

Угрозы получения в рамках предоставленныхполномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защитыобъектов, в которых размещены ресурсы информационной системы;

сведений о мерах по обеспечениюконтролируемой зоны объектов, в которых размещены ресурсы информационнойсистемы;

сведений о мерах по разграничению доступа впомещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.

Угрозы использования штатных средствинформационных систем персональных данных, ограниченного мерами, реализованнымив информационной системе, в которой используются СКЗИ, и направленными напредотвращение и пресечение несанкционированных действий.

Угрозы физического доступа к СВТ, накоторых реализованы СКЗИ и СФ.

Угрозы возможностей воздействия нааппаратные компоненты СКЗИ и СФ, ограниченных мерами, реализованными винформационной системе, в которой используется СКЗИ, и направленными напредотвращение и пресечение несанкционированных действий.

Угрозы создания способов, подготовки ипроведения атак с привлечением специалистов в области анализа сигналов,сопровождающих функционирование СКЗИ и СФ, и в области использования дляреализации атак недокументированных (не декларированных) возможностейприкладного программного обеспечения.

Угрозы проведения лабораторных исследованийСКЗИ, используемых вне контролируемой зоны, ограниченного мерами,реализованными в информационной системе, в которой используется СКЗИ, инаправленными на предотвращение и пресечение несанкционированных действий.

Угрозы проведения работ по созданиюспособов и средств атак в научно-исследовательских центрах, специализирующихсяв области разработки и анализа СКЗИ и СФ, в том числе с использованием исходныхтекстов входящего в СФ прикладного программного обеспечения, непосредственноиспользующего вызовы программных функций СКЗИ.

Угрозы создания способов, подготовки ипроведения атак с привлечением специалистов в области использования дляреализации атак недокументированных (не декларированных) возможностейсистемного программного обеспечения.

Угрозы возможностей располагать сведениями,содержащимися в конструкторской документации на аппаратные и программныекомпоненты СФ.

Угрозы возможностей воздействовать на любыекомпоненты СКЗИ и СФ.

 

 

Временно замещающий должность

начальника отдела технической защиты

информации Губернатора Иркутской

области и Правительства Иркутской области                                    П.А. Рязанов