Постановление

 

 Правительства Магаданской области

 

 от 5 октября 2017 г. N 870-пп

 

       (В редакции Постановления Правительства Магаданскойобласти     

                       от11.10.2018 г. № 675-пп)                      

 

"Об утверждении угроз безопасности персональных данных,актуальных при обработке персональных данных в информационных системахперсональных данных исполнительных органов государственной власти Магаданскойобласти и их подведомственных учреждений, структурных подразделенийПравительства Магаданской области"

 

Всоответствии с частью 5 статьи 19 Федерального закона от 27июля 2006 г. N 152-ФЗ "О персональных данных", в целяхобеспечения единого подхода к определению угроз безопасности персональныхданных, актуальных при обработке персональных данных в информационных системахперсональных данных структурных подразделений Правительства Магаданскойобласти, исполнительных органах государственной власти Магаданской области и ихподведомственных учреждений, Правительство Магаданской области постановляет:

1.Утвердить угрозы безопасности персональных данных, актуальные при обработкеперсональных данных в информационных системах персональных данныхисполнительных органов государственной власти Магаданской области и ихподведомственных учреждений, структурных подразделений ПравительстваМагаданской области, согласно приложению к настоящему постановлению.

2. Исполнительным органам государственной властиМагаданской области и их подведомственным учреждениям, структурнымподразделениям Правительства Магаданской области при разработке систем защитыперсональных данных, используемых в информационных системах персональныхданных, учитывать угрозы безопасности персональных данных, актуальные приобработке персональных данных в информационных системах персональных данных,утвержденные настоящим постановлением.

3. Рекомендовать органам местного самоуправлениямуниципальных образований Магаданской области и их подведомственнымучреждениям:

- определить угрозы безопасности персональныхданных, актуальные при обработке персональных данных в информационных системахперсональных данных, используемых в органах местного самоуправлениямуниципальных образований Магаданской области и их подведомственныхучреждениях;

-при определении угроз безопасности персональных данных, актуальных приобработке персональных данных в информационных системах персональных данных,используемых в органах местного самоуправления муниципальных образованийМагаданской области и их подведомственных учреждениях, руководствоватьсянастоящим постановлением.

4.Контроль за исполнением настоящего постановления возложить на заместителяПредседателя Правительства Магаданской области Белозерцева А.Н.

5. Настоящее постановление подлежит официальному опубликованию.

 

 

Губернатор Магаданскойобласти                                        В. Печеный

 

Утверждены

постановлением Правительства

Магаданской области

от "05" октября 2017 г. N 870-пп

 

Угрозы безопасности

персональных данных, актуальные при обработке персональныхданных в информационных системах персональных данных исполнительных органовгосударственной власти Магаданской области и их подведомственных учреждений,структурных подразделений Правительства Магаданской области

 

1.Настоящий документ определяет перечень угроз безопасности персональных данных,актуальных при обработке персональных данных в информационных системахперсональных данных исполнительных органов государственной власти Магаданскойобласти и их подведомственных учреждений, структурных подразделенийПравительства Магаданской области при осуществлении ими соответствующих видовдеятельности с учетом содержания персональных данных, характера и способов ихобработки.

2. В настоящем документе не рассматриваются вопросыобеспечения безопасности персональных данных, отнесенные в установленномпорядке к сведениям, составляющим государственную тайну.

3. В настоящем документе используютсятермины и понятия, установленные Федеральным законом от 27 июля 2006 г. N152-ФЗ "О персональных данных", постановлением ПравительстваРоссийской Федерации от 01 ноября 2012 г. N 1119 "Об утверждениитребований к защите персональных данных при их обработке в информационныхсистемах персональных данных", Методикой определения актуальных угрозбезопасности персональных данных при их обработке в информационных системахперсональных данных, утвержденной заместителем директора Федеральной службы потехническому и экспортному контролю Российской Федерации от 14 февраля 2008года.

(В    редакции    Постановления   Правительства   Магаданской   области

от11.10.2018 г. № 675-пп)

4.Под угрозами безопасности персональных данных при их обработке в информационныхсистемах персональных данных исполнительных органов государственной властиМагаданской области и их подведомственных учреждений, структурных подразделенийПравительства Магаданской области понимается совокупность условий и факторов,создающих актуальную опасность несанкционированного, в том числе случайного,доступа к персональным данным при их обработке в информационной системе,результатом которого могут стать уничтожение, изменение, блокирование,копирование, предоставление, распространение персональных данных, а также иныенеправомерные действия (далее - Угрозы безопасности).

5. Угрозами безопасности персональных данных винформационных системах персональных данных являются:

5.1. Угроза "кражи" учетной записи доступак сетевым сервисам.

5.2.Угроза "фарминга".

5.3.Угроза "фишинга".

5.4.Угроза "форсированного веб-браузинга".

5.5.Угроза аппаратного сброса пароля BIOS.

5.6.Угроза внедрения вредоносного кода в дистрибутив программного обеспечения.

5.7.Угроза восстановления аутентификационной информации.

5.8.Угроза восстановления предыдущей уязвимой версии BIOS.

5.9.Угроза деавторизации санкционированного клиента беспроводной сети.

5.10.Угроза заражения компьютера при посещении неблагонадёжных сайтов.

5.11.Угроза использования информации идентификации/ аутентификации, заданной поумолчанию.

5.12.Угроза использования механизмов авторизации для повышения привилегий.

5.13.Угроза использования уязвимых версий программного обеспечения.

5.14.Угроза нарушения изоляции среды исполнения BIOS.

5.15.Угроза нарушения процедуры аутентификации субъектов виртуальногоинформационного взаимодействия.

5.16.Угроза нарушения целостности данных кэша.

5.17.Угроза невозможности управления правами пользователей BIOS.

5.18.Угроза недобросовестного исполнения обязательств поставщиками облачных услуг.

5.19.Угроза незащищённого администрирования облачных услуг.

5.20.Угроза некачественного переноса инфраструктуры в облако.

5.21.Угроза некорректного использования прозрачного прокси-сервера за счёт плагиновбраузера.

5.22.Угроза неопределённости ответственности за обеспечение безопасности облака.

5.23.Угроза неподтверждённого ввода данных оператором в систему, связанную сбезопасностью.

5.24.Угроза неправомерного ознакомления с защищаемой информацией.

5.25.Угроза неправомерного шифрования информации.

5.26.Угроза несанкционированного восстановления удалённой защищаемой информации.

5.27.Угроза несанкционированного доступа к аутентификационной информации.

5.28.Угроза несанкционированного доступа к защищаемым виртуальным машинам извиртуальной и (или) физической сети.

5.29.Угроза несанкционированного доступа к системе по беспроводным каналам.

5.30.Угроза несанкционированного доступа к системе хранения данных из виртуальной и(или) физической сети.

5.31.Угроза несанкционированного изменения аутентификационной информации.

5.32.Угроза несанкционированного изменения параметров настройки средств защитыинформации.

5.33.Угроза несанкционированного использования привилегированных функций BIOS.

5.34.Угроза несанкционированного копирования защищаемой информации.

5.35.Угроза несогласованности политик безопасности элементов облачнойинфраструктуры.

5.36.Угроза обхода некорректно настроенных механизмов аутентификации.

5.37.Угроза перехвата данных, передаваемых по вычислительной сети.

5.38.Угроза подбора пароля BIOS.

5.39.Угроза потери и утечки данных, обрабатываемых в облаке.

5.40.Угроза программного сброса пароля BIOS.

5.41.Угроза распространения "почтовых червей".

5.42.Угроза скрытного включения вычислительного устройства в состав бот-сети.

5.43.Угроза удаления аутентификационной информации.

5.44.Угроза утраты носителей информации.

5.45.Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачиинформации.

6.Исполнительным органам государственной власти Магаданской области и ихподведомственным учреждениям, структурным подразделениям ПравительстваМагаданской области необходимо руководствоваться положениями настоящегодокумента при решении следующих задач:

- определение угроз безопасности персональных данныхпри их обработке в информационных системах персональных данных;

-анализ защищенности информационных систем персональных данных от актуальныхугроз безопасности персональных данных в ходе выполнения мероприятий поинформационной безопасности;

-проведение мероприятий по минимизации и/или нейтрализации угроз безопасностиперсональных данных;

-предотвращение несанкционированного воздействия на технические средстваинформационных систем персональных данных;

-контроль за обеспечением уровня защищенности персональных данных.

7.Угрозы безопасности подлежат адаптации в ходе разработки частных моделей угрозбезопасности персональных данных.

8. Угрозы безопасности уточняются и дополняются помере выявления актуальных угроз, развития способов и средств реализации угрозбезопасности персональных данных в информационных системах персональных данных.

9. Актуальность Угроз безопасности, возникающих вслучае использования средств криптографической защиты информации для защитыперсональных данных при обработке персональных данных в информационных системахперсональных данных исполнительных органов государственной власти Магаданскойобласти, следует определять дополнительно.

10. При обработке персональных данных в информационныхсистемах персональных данных исполнительные органы государственной властиМагаданской области и их подведомственные учреждения, структурные подразделенияПравительства Магаданской области применяют правовые, организационные итехнические меры, направленные на минимизацию угроз безопасности персональныхданных в информационных системах персональных данных.

11. Реализация правовых, организационных итехнических мер, направленных на минимизацию Угроз безопасности осуществляетсяспециалистами по информационной безопасности исполнительных органовгосударственной власти Магаданской области и их подведомственных учреждений,структурных подразделений Правительства Магаданской области, ответственными запланирование, организацию и реализацию мероприятий по обеспечениюинформационной безопасности.