Постановление Правительства Белгородской области от 26.02.2018 № 58-пп

 

 

ПРАВИТЕЛЬСТВО БЕЛГОРОДСКОЙОБЛАСТИ

 

ПОСТАНОВЛЕНИЕ

от 26 февраля 2018 г.                                                                                 N 58-пп

 

ОБ ОПРЕДЕЛЕНИИ УГРОЗБЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХДАННЫХ

В ИНФОРМАЦИОННЫХ СИСТЕМАХПЕРСОНАЛЬНЫХ ДАННЫХ

ОРГАНОВ ИСПОЛНИТЕЛЬНОЙВЛАСТИ И ГОСУДАРСТВЕННЫХ

ОРГАНОВ БЕЛГОРОДСКОЙ ОБЛАСТИ

 

Во исполнение части 5 статьи19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональныхданных" и в целях обеспечения единого подхода к определению угрозбезопасности персональных данных, актуальных при обработке персональных данныхв информационных системах персональных данных органов исполнительной власти игосударственных органов Белгородской области, Правительство Белгородскойобласти постановляет:

1. Определить угрозыбезопасности персональных данных, актуальные при обработке персональных данныхв информационных системах персональных данных органов исполнительной власти игосударственных органов Белгородской области согласно приложению к настоящемупостановлению.

2. Органам исполнительнойвласти и государственным органам Белгородской области руководствоватьсянастоящим постановлением.

3. Рекомендовать органамместного самоуправления муниципальных районов и городских округовруководствоваться настоящим постановлением при организации работ по защитеперсональных данных.

4. Контроль за исполнениемпостановления возложить на управление информационных технологий и связиАдминистрации Губернатора Белгородской области (Мирошников Е.В.).

5. Настоящее постановлениевступает в силу со дня его официального опубликования.

 

 

Губернатор Белгородской области                                                 Е.САВЧЕНКО

 

 

Приложение

к постановлению

Правительства Белгородской области

от 26 февраля 2018 г. N 58-пп

 

УГРОЗЫ БЕЗОПАСНОСТИПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫЕ ПРИ

ОБРАБОТКЕ ПЕРСОНАЛЬНЫХДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНОВИСПОЛНИТЕЛЬНОЙ ВЛАСТИ

И ГОСУДАРСТВЕННЫХ ОРГАНОВБЕЛГОРОДСКОЙ ОБЛАСТИ

 

I. Общие положения

Угрозы безопасностиперсональных данных, актуальные при обработке персональных данных винформационных системах персональных данных (далее - ИСПДн) органовисполнительной власти и государственных органов Белгородской области (далее - Актуальныеугрозы безопасности ИСПДн), разработаны в соответствии с частью 5 статьи 19Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональныхданных".

Под Актуальными угрозамибезопасности ИСПДн понимается совокупность условий и факторов, создающихактуальную опасность несанкционированного, в том числе случайного, доступа кперсональным данным при их обработке в ИСПДн, результатом которого могут статьуничтожение, изменение, блокирование, копирование, предоставление,распространение персональных данных, а также иные неправомерные действия всоответствии с пунктом 6 требований к защите персональных данных при ихобработке в информационных системах персональных данных, утвержденныхПостановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119"Об утверждении требований к защите персональных данных при их обработке винформационных системах персональных данных".

В качестве исходного перечнявероятных угроз безопасности информации целесообразно использовать угрозы,приведенные в Актуальных угрозах безопасности ИСПДн. Рассматриваемые угрозыподлежат адаптации при разработке моделей угроз безопасности персональныхданных ИСПДн.

Типовая форма частной моделиугроз безопасности персональных данных для органов исполнительной власти игосударственных органов Белгородской области разрабатывается с учетомтребований:

- Федерального закона от 27июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и озащите информации";

- Федерального закона от 27июля 2006 года N 152-ФЗ "О персональных данных";

- ПостановленияПравительства Российской Федерации от 21 марта 2012 года N 211 "Обутверждении перечня мер, направленных на обеспечение выполнения обязанностей,предусмотренных Федеральным законом "О персональных данных" ипринятыми в соответствии с ним нормативными правовыми актами, операторами,являющимися государственными или муниципальными органами";

- ПостановленияПравительства Российской Федерации от 1 ноября 2012 года N 1119 "Обутверждении требований к защите персональных данных при их обработке винформационных системах персональных данных";

- Приказа Федеральной службыпо техническому и экспортному контролю Российской Федерации от 18 февраля 2013года N 21 "Об утверждении Состава и содержания организационных итехнических мер по обеспечению безопасности персональных данных при ихобработке в информационных системах персональных данных";

- Приказа Федеральной службыбезопасности Российской Федерации от 10 июля 2014 года N 378 "Обутверждении Состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных с использованием средств криптографической защитыинформации, необходимых для выполнения установленных Правительством РоссийскойФедерации требований к защите персональных данных для каждого из уровнейзащищенности";

- Базовой модели угрозбезопасности персональных данных при их обработке в информационных системахперсональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля2008 года;

- Методики определенияактуальных угроз безопасности персональных данных при их обработке вИнформационных системах персональных данных, утвержденной заместителемдиректора ФСТЭК России 14 февраля 2008 года;

- Методических рекомендацийпо разработке нормативных правовых актов, определяющих угрозы безопасностиперсональных данных, актуальные при обработке персональных данных винформационных системах персональных данных, эксплуатируемых при осуществлениисоответствующих видов деятельности, утвержденных руководством 8 Центра ФСБРоссии от 31 марта 2015 года N 149/7/2/6-432;

- Банка данных угроз ФСТЭКРоссии (www.bdu.fstec.ru).

При разработке частныхмоделей угроз безопасности персональных данных проводится анализструктурно-функциональных характеристик конкретной ИСПДн и применяемых в нейинформационных технологий, особенностей ее функционирования.

В частной модели угрозбезопасности персональных данных указываются:

- структурно-функциональноепостроение ИСПДн, ее описание;

- описание ИСПДн поструктуре (разноплановые системы) в том случае, если применяютсясертифицированные средства криптографической защиты информации (далее - СКЗИ);

- описание угрозбезопасности персональных данных с учетом совокупности предположений овозможностях, которые могут использоваться при создании способов, подготовке ипроведении атак;

- описание возможныхуязвимостей информационной системы, способов реализации угроз безопасностиинформации и последствий от нарушения свойств безопасности информации;

- описание моделинарушителя.

Актуальные угрозыбезопасности ИСПДн уточняются и дополняются по мере выявления новых источниковугроз, развития способов и средств реализации угроз безопасности персональныхданных в ИСПДн.

Информационные системыперсональных данных органов исполнительной власти и государственных органовБелгородской области характеризуются тем, что разноплановы и могут иметь любуюструктуру из шести типовых, рассмотренных в Базовой модели угроз безопасностиперсональных данных при их обработке в ИСПДн, утвержденной заместителемдиректора ФСТЭК России 15 февраля 2008 года:

1) автоматизированныерабочие места, не имеющие подключения к сетям связи общего пользования и (или)сетям международного информационного обмена;

2) автоматизированныерабочие места, имеющие подключение к сетям связи общего пользования и (или)сетям международного информационного обмена;

3) локальные информационныесистемы персональных данных, не имеющие подключения к сетям связи общегопользования и (или) сетям международного информационного обмена;

4) локальные информационныесистемы персональных данных, имеющие подключение к сетям связи общегопользования и (или) сетям международного информационного обмена;

5) распределенные ИСПДн, неимеющие подключение к сетям связи общего пользования и (или) сетяммеждународного информационного обмена;

6) распределенные ИСПДн,имеющие подключение к сетям связи общего пользования и (или) сетяммеждународного информационного обмена.

Ввод персональных данных вИСПДн и вывод данных из ИСПДн осуществляются с использованием бумажных иэлектронных носителей информации. В качестве электронных носителей информациииспользуются учтенные съемные носители информации и компакт-диски.

Персональные данныесубъектов персональных данных обрабатываются в целях:

- обеспечения деятельностиГубернатора и Правительства Белгородской области;

- предоставлениягосударственных и муниципальных услуг;

- приема и рассмотренияпоступивших в адрес Губернатора Белгородской области документов, обращенийграждан и организаций, а также регистрации и отправки исходящейкорреспонденции;

- обеспечения кадровойработы, в том числе в целях содействия гражданским служащим, работникам впрохождении государственной гражданской службы Белгородской области, выполненииработы, в обучении и должностном росте, обеспечения личной безопасностигражданских служащих, работников и членов их семей, обеспечения сохранностипринадлежащего им имущества и имущества государственных органов, учетарезультатов исполнения ими должностных обязанностей, обеспечения установленныхзаконодательством Российской Федерации условий осуществления служебнойдеятельности и труда, гарантий и компенсаций;

- формирования кадровогорезерва на государственной гражданской службе Белгородской области, резервауправленческих кадров Белгородской области, противодействия коррупции;

- реализации процедур попредставлению граждан к награждению;

- рассмотрения вопросов,связанных с помилованием осужденных и лиц, отбывших назначенное судом наказаниеи имеющих не снятую судимость.

При осуществленииинформационного обмена по сетям связи общего пользования и (или) сетяммеждународного информационного обмена применяются сертифицированные СКЗИ.

Автоматизированные рабочиеместа пользователей, серверы, сетевое и телекоммуникационное оборудование ИСПДннаходятся в пределах контролируемой зоны. Для ИСПДн контролируемой зонойявляются административные здания либо отдельные помещения. Вне контролируемойзоны находятся линии передачи данных и телекоммуникационное оборудование,используемое для информационного обмена по сетям связи общего пользования и(или) сетям международного информационного обмена.

В административных зданияхустановлен пропускной режим, неконтролируемое пребывание посторонних лиц инеконтролируемое перемещение (вынос за пределы здания) компьютеров и оргтехникизапрещены. Помещения оборудованы запирающимися дверями с опечатывающимиустройствами (при использовании СКЗИ). В коридорах, вестибюлях и холлах ведетсявидеонаблюдение.

Технические средства и базыданных ИСПДн органов исполнительной власти и государственных органовБелгородской области размещаются на территории Российской Федерации.

II. Угрозы безопасностиИСПДн

Учитывая особенностиобработки персональных данных в органах исполнительной власти и государственныхорганах Белгородской области, а также категорию и объем обрабатываемых в ИСПДнперсональных данных, основными характеристиками безопасности являютсяконфиденциальность, целостность и доступность.

Система защиты персональныхданных включает в себя организационные и (или) технические меры, определенные сучетом актуальных угроз безопасности персональных данных и информационныхтехнологий, используемых в информационных системах.

Безопасность информации(данных) - состояние защищенности информации (данных), при котором обеспеченыее (их) конфиденциальность, доступность и целостность.

Конфиденциальностьинформации - обязательное для выполнения лицом, получившим доступ копределенной информации, требование не передавать такую информацию третьимлицам без согласия ее обладателя.

Целостность - состояниезащищенности информации, характеризуемое способностью автоматизированнойсистемы обеспечивать сохранность и неизменность информации при попыткахнесанкционированных воздействий на нее в процессе обработки или хранения.

Доступность - состояние информации(ресурсов информационной системы), при котором субъекты, имеющие права доступа,могут реализовать их беспрепятственно.

Основной целью применения вИСПДн органов исполнительной власти и государственных органов Белгородскойобласти СКЗИ является защита персональных данных, в том числе приинформационном обмене по сетям связи общего пользования и (или) сетяммеждународного информационного обмена.

Под актуальными угрозамибезопасности персональных данных понимается совокупность условий и факторов,создающих актуальную опасность несанкционированного, в том числе случайного,доступа к персональным данным при их обработке в информационной системе,результатом которого могут стать уничтожение, изменение, блокирование,копирование, распространение персональных данных, а также иные неправомерныедействия с персональными данными.

В зависимости от составаобрабатываемых персональных данных и типа актуальных угроз необходимый уровеньзащищенности персональных данных для каждой ИСПДн определяется индивидуально.

Угрозы безопасностиперсональных данных, обрабатываемых в информационных системах персональныхданных, приведенные в Актуальных угрозах безопасности ИСПДн, подлежат адаптациив ходе разработки частных моделей угроз безопасности персональных данных.

III. Объекты защиты

К объектам защиты относятся:

- персональные данные (ПДн);

- средства защиты информации(СЗИ);

- программно-аппаратныесредства;

- системное, сетевое иприкладное программное обеспечение;

- телекоммуникационноеоборудование;

- средства криптографическойзащиты информации (СКЗИ);

- среда функционированияСЗИ;

- среда функционированияСКЗИ (СФ);

- информация, относящаяся ккриптографической защите персональных данных, включая ключевую, парольную иаутентифицирующую информацию СКЗИиСЗИ;

- документы, дела, журналы,картотеки, издания, технические документы, видео-, кино- и фотоматериалы,рабочие материалы и т.п., в которых отражена защищаемая информация, относящаясяк информационным системам персональных данных и их криптографической защите,включая документацию на СКЗИ и на технические и программные компоненты средыфункционирования СКЗИ;

- носители защищаемойинформации, используемые в информационной системе в процессе криптографическойзащиты персональных данных, носители ключевой, парольной и аутентифицирующейинформации СКЗИ и порядок доступа к ним;

- используемыеинформационной системой каналы (линии) связи, включая кабельные системы;

- помещения, в которыхнаходятся ресурсы информационной системы, имеющие отношение к криптографическойзащите персональных данных.

IV. Актуальные угрозыбезопасности в ИСПДн органов

исполнительной власти игосударственных

органов Белгородской области

1. Угрозы безопасностиинформации из состава Банка данных угроз безопасности информации(www.bdu.fstec.ru), потенциально опасные для информационных систем персональныхданных:

УБИ. 003 Угроза анализакриптографических алгоритмов и их реализации;

УБИ. 004 Угроза аппаратногосброса пароля BIOS;

УБИ. 006 Угроза внедрениякода или данных;

УБИ. 008 Угрозавосстановления аутентификационной информации;

УБИ. 009 Угрозавосстановления предыдущей уязвимой версии BIOS;

УБИ. 012 Угрозадеструктивного изменения конфигурации/среды окружения программ;

УБИ. 013 Угрозадеструктивного использования декларированного функционала BIOS;

УБИ. 014 Угроза длительногоудержания вычислительных ресурсов пользователями;

УБИ. 015 Угроза доступа кзащищаемым файлам с использованием обходного пути;

УБИ. 016 Угроза доступа клокальным файлам сервера при помощи URL;

УБИ. 017 Угрозадоступа/перехвата/изменения HTTP cookies;

УБИ. 018 Угроза загрузкинештатной операционной системы;

УБИ. 019 Угроза зараженияDNS-кеша;

УБИ. 022 Угроза избыточноговыделения оперативной памяти;

УБИ. 023 Угроза изменениякомпонентов системы;

УБИ. 025 Угроза изменениясистемных и глобальных переменных;

УБИ. 026 Угроза искаженияXML-схемы;

УБИ. 027 Угроза искажениявводимой и выводимой на периферийные устройства информации;

УБИ. 028 Угрозаиспользования альтернативных путей доступа к ресурсам;

УБИ. 029 Угрозаиспользования вычислительных ресурсов суперкомпьютера "паразитными"процессами;

УБИ. 030 Угрозаиспользования информации идентификации/аутентификации, заданной по умолчанию;

УБИ. 031 Угрозаиспользования механизмов авторизации для повышения привилегий;

УБИ. 032 Угрозаиспользования поддельных цифровых подписей BIOS;

УБИ. 033 Угрозаиспользования слабостей кодирования входных данных;

УБИ. 034 Угрозаиспользования слабостей протоколов сетевого/локального обмена данными;

УБИ. 036 Угроза исследованиямеханизмов работы программы;

УБИ. 037 Угроза исследованияприложения через отчеты об ошибках;

УБИ. 038 Угроза исчерпаниявычислительных ресурсов хранилища больших данных;

УБИ. 039 Угроза исчерпаниязапаса ключей, необходимых для обновления BIOS;

УБИ. 040 Угроза конфликтаюрисдикций различных стран;

УБИ. 041 Угроза межсайтовогоскриптинга;

УБИ. 042 Угроза межсайтовойподделки запроса;

УБИ. 045 Угроза нарушенияизоляции среды исполнения BIOS;

УБИ. 049 Угроза нарушенияцелостности данных кеша;

УБИ. 051 Угрозаневозможности восстановления сессии работы на ПЭВМ при выводе из промежуточныхсостояний питания;

УБИ. 053 Угрозаневозможности управления правами пользователей BIOS;

УБИ. 061 Угрозанекорректного задания структуры данных транзакции;

УБИ. 063 Угрозанекорректного использования функционала программного обеспечения;

УБИ. 067 Угрозанеправомерного ознакомления с защищаемой информацией;

УБИ. 068 Угрозанеправомерного/некорректного использования интерфейса взаимодействия сприложением;

УБИ. 069 Угрозанеправомерных действий в каналах связи;

УБИ. 071 Угрозанесанкционированного восстановления удаленной защищаемой информации;

УБИ. 072 Угрозанесанкционированного выключения или обхода механизма защиты от записи в BIOS;

УБИ. 074 Угрозанесанкционированного доступа к аутентификационной информации;

УБИ. 086 Угрозанесанкционированного изменения аутентификационной информации;

УБИ. 087 Угрозанесанкционированного использования привилегированных функций BIOS;

УБИ. 088 Угрозанесанкционированного копирования защищаемой информации;

УБИ. 089 Угрозанесанкционированного редактирования реестра;

УБИ. 090 Угрозанесанкционированного создания учетной записи пользователя;

УБИ. 091 Угрозанесанкционированного удаления защищаемой информации;

УБИ. 093 Угрозанесанкционированного управления буфером;

УБИ. 094 Угроза несанкционированногоуправления синхронизацией и состоянием;

УБИ. 095 Угрозанесанкционированного управления указателями;

УБИ. 098 Угроза обнаруженияоткрытых портов и идентификации привязанных к нему сетевых служб;

УБИ. 099 Угроза обнаруженияхостов;

УБИ. 100 Угроза обходанекорректно настроенных механизмов аутентификации;

УБИ. 102 Угрозаопосредованного управления группой программ через совместно используемыеданные;

УБИ. 103 Угроза определениятипов объектов защиты;

УБИ. 104 Угроза определениятопологии вычислительной сети;

УБИ. 107 Угроза отключенияконтрольных датчиков;

УБИ. 109 Угроза переборавсех настроек и параметров приложения;

УБИ. 111 Угроза передачиданных по скрытым каналам;

УБИ. 112 Угроза передачизапрещенных команд на оборудование с числовым программным управлением;

УБИ. 113 Угроза перезагрузкиаппаратных и программно-аппаратных средств вычислительной техники;

УБИ. 114 Угроза переполненияцелочисленных переменных;

УБИ. 115 Угроза перехватавводимой и выводимой на периферийные устройства информации;

УБИ. 116 Угроза перехватаданных, передаваемых по вычислительной сети;

УБИ. 117 Угроза перехватапривилегированного потока;

УБИ. 118 Угроза перехватапривилегированного процесса;

УБИ. 121 Угроза повреждениясистемного реестра;

УБИ. 122 Угроза повышенияпривилегий;

УБИ. 123 Угроза подборапароля BIOS;

УБИ. 124 Угроза подделкизаписей журнала регистрации событий;

УБИ. 127 Угроза подменыдействия пользователя путем обмана;

УБИ. 128 Угроза подменыдоверенного пользователя;

УБИ. 129 Угроза подменырезервной копии программного обеспечения BIOS;

УБИ. 130 Угроза подменысодержимого сетевых ресурсов;

УБИ. 131 Угроза подменысубъекта сетевого доступа;

УБИ. 132 Угроза полученияпредварительной информации об объекте защиты;

УБИ. 139 Угроза преодоленияфизической защиты;

УБИ. 140 Угроза приведениясистемы в состояние "отказ в обслуживании";

УБИ. 143 Угроза программноговыведения из строя средств хранения, обработки и (или) ввода/вывода/передачиинформации;

УБИ. 144 Угроза программногосброса пароля BIOS;

УБИ. 145 Угроза пропускапроверки целостности программного обеспечения;

УБИ. 149 Угроза сбояобработки специальным образом измененных файлов;

УБИ. 150 Угроза сбояпроцесса обновления BIOS;

УБИ. 151 Угроза сканированиявеб-сервисов, разработанных на основе языка описания WSDL;

УБИ. 152 Угроза удаленияаутентификационной информации;

УБИ. 153 Угроза усилениявоздействия на вычислительные ресурсы пользователей при помощи стороннихсерверов;

УБИ. 154 Угроза установкиуязвимых версий обновления программного обеспечения BIOS;

УБИ. 155 Угроза утратывычислительных ресурсов;

УБИ. 156 Угроза утратыносителей информации;

УБИ. 157 Угроза физическоговыведения из строя средств хранения, обработки и (или) ввода/вывода/передачиинформации;

УБИ. 158 Угрозаформатирования носителей информации;

УБИ. 159 Угроза"форсированного веб-браузинга";

УБИ. 160 Угроза хищениясредств хранения, обработки и (или) ввода/вывода/передачи информации;

УБИ. 162 Угроза эксплуатациицифровой подписи программного кода;

УБИ. 163 Угроза перехватаисключения/сигнала из привилегированного блока функций;

УБИ. 165 Угроза включения впроект не достоверно испытанных компонентов;

УБИ. 166 Угроза внедрениясистемной избыточности;

УБИ. 167 Угроза заражениякомпьютера при посещении неблагонадежных сайтов;

УБИ. 168 Угроза "кражи"учетной записи доступа к сетевым сервисам;

УБИ. 169 Угроза наличиямеханизмов разработчика;

УБИ. 170 Угрозанеправомерного шифрования информации;

УБИ. 171 Угроза скрытноговключения вычислительного устройства в состав бот-сети;

УБИ. 172 Угроза распространения"почтовых червей";

УБИ. 173 Угроза"спама" веб-сервера;

УБИ. 174 Угроза"фарминга";

УБИ. 175 Угроза"фишинга";

УБИ. 176 Угроза нарушениятехнологического/производственного процесса из-за временных задержек, вносимыхсредством защиты;

УБИ. 177 Угроза неподтвержденноговвода данных оператором в систему, связанную с безопасностью;

УБИ. 178 Угрозанесанкционированного использования системных и сетевых утилит;

УБИ. 179 Угрозанесанкционированной модификации защищаемой информации;

УБИ. 180 Угроза отказаподсистемы обеспечения температурного режима;

УБИ. 181 Угроза перехватаодноразовых паролей в режиме реального времени;

УБИ. 182 Угроза физическогоустаревания аппаратных компонентов;

УБИ. 183 Угроза перехватауправления автоматизированной системой управления технологическими процессами;

УБИ. 185 Угрозанесанкционированного изменения параметров настройки средств защиты информации;

УБИ. 186 Угроза внедрениявредоносного кода через рекламу, сервисы и контент;

УБИ. 187 Угроза несанкционированноговоздействия на средство защиты информации;

УБИ. 188 Угроза подменыпрограммного обеспечения;

УБИ. 189 Угроза маскированиядействий вредоносного кода;

УБИ. 190 Угроза внедрениявредоносного кода за счет посещения зараженных сайтов в сети Интернет;

УБИ. 191 Угроза внедрениявредоносного кода в дистрибутив программного обеспечения;

УБИ. 192 Угрозаиспользования уязвимых версий программного обеспечения;

УБИ. 193 Угроза утечкиинформации за счет применения вредоносным программным обеспечением алгоритмовшифрования трафика;

УБИ. 197 Угроза хищенияаутентификационной информации из временных файлов cookie;

УБИ. 198 Угроза скрытнойрегистрации вредоносной программой учетных записей администраторов;

УБИ. 201 Угроза утечкипользовательских данных при использовании функций автоматического заполненияаутентификационной информации в браузере;

УБИ. 203 Угроза утечкиинформации с неподключенных к сети Интернет компьютеров;

УБИ. 204 Угрозанесанкционированного изменения вредоносной программой значений параметров программируемыхлогических контроллеров;

УБИ. 205 Угроза нарушенияработы компьютера и блокирования доступа к его данным из-за некорректной работыустановленных на нем средств защиты;

УБИ. 207 Угрозанесанкционированного доступа к параметрам настройки оборудования за счетиспользования "мастер-кодов" (инженерных паролей).

2. В случае если ИСПДн неимеет подключения к сетям общего пользования, то актуальными будут угрозы:

Угрозы безопасностиинформации из состава Банка данных угроз безопасности информации (www.bdu.fstec.ru),потенциально опасные для информационных систем персональных данных, не имеющихподключения к сетям общего пользования:

УБИ. 004 Угроза аппаратногосброса пароля BIOS;

УБИ. 008 Угрозавосстановления аутентификационной информации;

УБИ. 009 Угрозавосстановления предыдущей уязвимой версии BIOS;

УБИ. 010 Угроза выходапроцесса за пределы виртуальной машины;

УБИ. 011 Угрозадеавторизации санкционированного клиента беспроводной сети;

УБИ. 012 Угрозадеструктивного изменения конфигурации/среды окружения программ;

УБИ. 013 Угрозадеструктивного использования декларированного функционала BIOS;

УБИ. 014 Угроза длительногоудержания вычислительных ресурсов пользователями;

УБИ. 015 Угроза доступа кзащищаемым файлам с использованием обходного пути;

УБИ. 018 Угроза загрузкинештатной операционной системы;

УБИ. 022 Угроза избыточноговыделения оперативной памяти;

УБИ. 023 Угроза изменениякомпонентов системы;

УБИ. 025 Угроза изменениясистемных и глобальных переменных;

УБИ. 026 Угроза искаженияXML-схемы;

УБИ. 027 Угроза искажениявводимой и выводимой на периферийные устройства информации;

УБИ. 028 Угрозаиспользования альтернативных путей доступа к ресурсам;

УБИ. 029 Угрозаиспользования вычислительных ресурсов суперкомпьютера "паразитными"процессами;

УБИ. 030 Угрозаиспользования информации идентификации/аутентификации, заданной по умолчанию;

УБИ. 031 Угрозаиспользования механизмов авторизации для повышения привилегий;

УБИ. 033 Угрозаиспользования слабостей кодирования входных данных;

УБИ. 034 Угроза использованияслабостей протоколов сетевого/локального обмена данными;

УБИ. 036 Угроза исследованиямеханизмов работы программы;

УБИ. 037 Угроза исследованияприложения через отчеты об ошибках;

УБИ. 038 Угроза исчерпаниявычислительных ресурсов хранилища больших данных;

УБИ. 045 Угроза нарушенияизоляции среды исполнения BIOS;

УБИ. 049 Угроза нарушенияцелостности данных кеша;

УБИ. 051 Угрозаневозможности восстановления сессии работы на ПЭВМ при выводе из промежуточныхсостояний питания;

УБИ. 053 Угроза невозможностиуправления правами пользователей BIOS;

УБИ. 061 Угрозанекорректного задания структуры данных транзакции;

УБИ. 063 Угрозанекорректного использования функционала программного обеспечения;

УБИ. 067 Угрозанеправомерного ознакомления с защищаемой информацией;

УБИ. 068 Угрозанеправомерного/некорректного использования интерфейса взаимодействия сприложением;

УБИ. 071 Угрозанесанкционированного восстановления удаленной защищаемой информации;

УБИ. 072 Угрозанесанкционированного выключения или обхода механизма защиты от записи в BIOS;

УБИ. 074 Угрозанесанкционированного доступа к аутентификационной информации;

УБИ. 086 Угрозанесанкционированного изменения аутентификационной информации;

УБИ. 087 Угрозанесанкционированного использования привилегированных функций BIOS;

УБИ. 088 Угрозанесанкционированного копирования защищаемой информации;

УБИ. 089 Угрозанесанкционированного редактирования реестра;

УБИ. 090 Угрозанесанкционированного создания учетной записи пользователя;

УБИ. 091 Угрозанесанкционированного удаления защищаемой информации;

УБИ. 093 Угрозанесанкционированного управления буфером;

УБИ. 094 Угрозанесанкционированного управления синхронизацией и состоянием;

УБИ. 095 Угрозанесанкционированного управления указателями;

УБИ. 100 Угроза обхода некорректнонастроенных механизмов аутентификации;

УБИ. 102 Угрозаопосредованного управления группой программ через совместно используемыеданные;

УБИ. 107 Угроза отключенияконтрольных датчиков;

УБИ. 109 Угроза переборавсех настроек и параметров приложения;

УБИ. 111 Угроза передачиданных по скрытым каналам;

УБИ. 112 Угроза передачизапрещенных команд на оборудование с числовым программным управлением;

УБИ. 113 Угроза перезагрузкиаппаратных и программно-аппаратных средств вычислительной техники;

УБИ. 114 Угроза переполненияцелочисленных переменных;

УБИ. 115 Угроза перехватавводимой и выводимой на периферийные устройства информации;

УБИ. 117 Угроза перехватапривилегированного потока;

УБИ. 118 Угроза перехватапривилегированного процесса;

УБИ. 121 Угроза повреждениясистемного реестра;

УБИ. 122 Угроза повышенияпривилегий;

УБИ. 123 Угроза подборапароля BIOS;

УБИ. 124 Угроза подделкизаписей журнала регистрации событий;

УБИ. 129 Угроза подменырезервной копии программного обеспечения BIOS;

УБИ. 140 Угроза приведениясистемы в состояние "отказ в обслуживании";

УБИ. 143 Угроза программноговыведения из строя средств хранения, обработки и (или) ввода/вывода/передачиинформации;

УБИ. 144 Угроза программногосброса пароля BIOS;

УБИ. 145 Угроза пропускапроверки целостности программного обеспечения;

УБИ. 149 Угроза сбояобработки специальным образом измененных файлов;

УБИ. 150 Угроза сбояпроцесса обновления BIOS;

УБИ. 152 Угроза удаленияаутентификационной информации;

УБИ. 153 Угроза усилениявоздействия на вычислительные ресурсы пользователей при помощи стороннихсерверов;

УБИ. 154 Угроза установкиуязвимых версий обновления программного обеспечения BIOS;

УБИ. 155 Угроза утратывычислительных ресурсов;

УБИ. 156 Угроза утратыносителей информации;

УБИ. 158 Угрозаформатирования носителей информации;

УБИ. 162 Угроза эксплуатациицифровой подписи программного кода;

УБИ. 163 Угроза перехватаисключения/сигнала из привилегированного блока функций;

УБИ. 165 Угроза включения впроект не достоверно испытанных компонентов;

УБИ. 166 Угроза внедрениясистемной избыточности;

УБИ. 167 Угроза заражениякомпьютера при посещении неблагонадежных сайтов;

УБИ. 169 Угроза наличиямеханизмов разработчика;

УБИ. 177 Угрозанеподтвержденного ввода данных оператором в систему, связанную с безопасностью;

УБИ. 178 Угрозанесанкционированного использования системных и сетевых утилит;

УБИ. 179 Угрозанесанкционированной модификации защищаемой информации;

УБИ. 180 Угроза отказаподсистемы обеспечения температурного режима;

УБИ. 182 Угроза физическогоустаревания аппаратных компонентов;

УБИ. 183 Угроза перехватауправления автоматизированной системой управления технологическими процессами;

УБИ. 185 Угрозанесанкционированного изменения параметров настройки средств защиты информации;

УБИ. 186 Угроза внедрениявредоносного кода через рекламу, сервисы и контент;

УБИ. 187 Угрозанесанкционированного воздействия на средство защиты информации;

УБИ. 188 Угроза подменыпрограммного обеспечения;

УБИ. 191 Угроза внедрениявредоносного кода в дистрибутив программного обеспечения;

УБИ. 192 Угрозаиспользования уязвимых версий программного обеспечения;

УБИ. 203 Угроза утечкиинформации с неподключенных к сети Интернет компьютеров;

УБИ. 207 Угрозанесанкционированного доступа к параметрам настройки оборудования за счетиспользования "мастер-кодов" (инженерных паролей).

В соответствии сметодическими рекомендациями по разработке нормативных правовых актов,определяющих угрозы безопасности персональных данных, актуальные при обработкеперсональных данных в информационных системах персональных данных,эксплуатируемых при осуществлении соответствующих видов деятельности,утвержденных руководством 8 Центра ФСБ России 31 марта 2015 года N149/7/2/6-432, на основании исходных данных об информационных системах,объектах защиты и источниках атак определяются обобщенные возможностиисточников атак.

Определение обобщенныхвозможностей источников атак представлено в разделе V.

Реализация угрозбезопасности персональных данных, обрабатываемых в информационных системахперсональных данных, определяется возможностями источников атак. Таким образом,актуальность использования возможностей источников атак определяет наличиесоответствующих актуальных угроз.

На основании обобщенныхвозможностей источников атак и в соответствии с правилами, приведенными вметодических рекомендациях, определяются актуальные угрозы, а для неактуальныхугроз в разделе VI приводятся обоснования признания их неактуальности.

Если системы разноплановые ипри этом угрозы, которые могут быть нейтрализованы только с помощью СКЗИ,являются актуальными, то при разработке для имеющихся ИСПДн частных моделейугроз необходимо руководствоваться разделом 3 Методических рекомендаций поразработке нормативных правовых актов, определяющих угрозы безопасностиперсональных данных, актуальные при обработке персональных данных винформационных системах персональных данных, эксплуатируемых при осуществлениисоответствующих видов деятельности, утвержденных руководством 8 Центра ФСБРоссии от 31 марта 2015 года N 149/7/2/6-432.

В случае если не имеетсяактуальных угроз, которые могли бы быть нейтрализованы с помощью СКЗИ,руководствоваться требованиями нормативных правовых актов, указанных в разделеI Актуальных угроз безопасности ИСПДн.

V. Обобщенные возможностиисточников атак

 

VI. Обоснование признаниянеактуальности угроз