Постановление Правительства Пензенской области от 20.04.2017 № 192-пП
Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Пензенской области
| |
| ПРАВИТЕЛЬСТВО ПЕНЗЕНСКОЙ ОБЛАСТИ |
|
|
П О С Т А Н О В Л Е Н И Е |
|
|
| от | 20 апреля 2017 года | № | 192-пП |
|
г. Пенза | |||
Об определенииугроз безопасности персональных данных, актуальных
при обработкеперсональных данных в информационных системах
персональныхданных Пензенской области
В соответствии с частью 5 статьи 19 Федеральногозакона от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующимиизменениями), в целях обеспечения единого подхода к определению угрозбезопасности персональных данных, актуальных при обработке персональных данныхв информационных системах персональных данных, Правительство Пензенской области п о с т а н о в л я е т:
1. Определить угрозы безопасности персональных данных,актуальные при обработке персональных данныхв информационных системах персональных данныхПензенской области, согласно приложению к настоящемупостановлению.
2. Исполнительным органам государственной властиПензенской области и подведомственным им организациям:
2.1. Определить угрозы безопасности персональных данных, актуальныепри обработке персональных данных в используемых ими информационных системах персональныхданных, в течение трех месяцев с момента официального опубликованиянастоящего постановления.
2.2. При определении угрозбезопасности персональных данных, актуальных при обработке персональных данных в используемых ими информационных системах персональных данных, руководствоватьсянастоящим постановлением.
3. Настоящеепостановление опубликовать в газете «Пензенские губернские ведомости» и разместить (опубликовать) на «Официальноминтернет-портале правовой информации»(www.pravo.gov.ru) и на официальном сайте Правительства Пензенской области винформационно-телекоммуникационной сети «Интернет».
4. Контроль за исполнением настоящего постановлениявозложить на заместителя ПредседателяПравительства Пензенской области, координирующего вопросы информатизации.
| Губернатор Пензенской области | И.А. Белозерцев |
Приложение
к постановлению Правительства
Пензенской области
от 20 апреля 2017 года № 192-пП
АКТУАЛЬНЫЕ УГРОЗЫ
безопасности персональных данных приобработке
в информационных системах персональныхданных
1. Общие положения
1.1. Настоящий документ определяет перечень актуальныхугроз безопасности персональных данных(далее – УБ ПДн) при обработке персональныхданных (далее – ПДн) в информационных системахперсональных данных (далее – ИСПДн), эксплуатируемыхорганами исполнительной власти и (или) местного самоуправления муниципальныхрайонов и городских округов Пензенской области, и (или) подведомственными иморганизациями (далее – соответственноОрганы, Организации), при осуществлении ими соответствующих видовдеятельности, с учетом содержания ПДн, характера испособов их обработки. Данный перечень уточняется по мере выявления новых УБ ПДн и их источников, развития способов и средств ихреализации.
1.2. В настоящем документе не рассматриваются вопросыобеспечения безопасности ПДн, отнесенные вустановленном порядке к сведениям, составляющим государственную тайну.
1.3. Настоящий документ предназначен для Органов иОрганизаций при решении ими следующих задач:
- определение УБ ПДн, актуальныхпри обработке ПДн в ИСПДн;
- анализ защищенности ИСПДн от актуальных УБ ПДн в ходевыполнения мероприятий по информационнойбезопасности (защите информации);
- модернизация системы защиты ПДнв Органах и Организациях;
- проведение мероприятий по минимизациии (или) нейтрализации УБ ПДн;
- предотвращение несанкционированного воздействия натехнические средства ИСПДн;
- контроль за обеспечением уровня защищенности ПДн.
1.4. При определении актуальных УБ ПДнпри обработке ПДн в используемых ИСПДни совокупности предположений о возможностях нарушителя,которые могут использоваться при создании, подготовке и проведении атак,Органы и Организации применяют с учетом категории ИСПДн,условий и особенностей функционирования ИСПДн,характера и способов обработки ПДн в ИСПДн типовые возможности нарушителей безопасностиинформации и направления атак, приведенные в приложении № 2 к настоящемудокументу, группы актуальных УБ ПДн в ИСПДн, приведенные в разделе 6 настоящего документа, ирасширенный перечень УБ ПДн в ИСПДн,приведенный в приложении № 1 к настоящемудокументу, и согласно действующим методикам определения актуальных угрозбезопасности информации осуществляют определение актуальных УБ ПДн.
1.5. Определение требований к системе защитыинформации ИСПДн в зависимости от выявленного класса(уровня) защищенности ИСПДн и УБ ПДн,определенных в качестве актуальных при обработке ПДнв ИСПДн, и осуществление выбора средств защитыинформации для системы защиты ПДн проводится всоответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭКРоссии во исполнение части 4 статьи 19 Федерального закона от 27 июля 2006 года№ 152-ФЗ «О персональных данных».
1.6. В документе дано описание:
- категорий ИСПДн какобъектов защиты;
- объектов, защищаемых при определении УБ ПДн в ИСПДн;
- возможных источников УБ ПДн,обрабатываемых в ИСПДн;
- возможных видов неправомерныхдействий и деструктивных воздействий на ПДн в ИСПДн;
- основных способов реализации УБ ПДн.
1.7. В настоящем документе используются термины и понятия,установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональныхданных», требованиями к защите персональных данных при их обработке в информационных системах персональных данных,утвержденными постановлением Правительства Российской Федерации от 1ноября 2012 года № 1119 «Об утверждении требований к защите персональных данныхпри их обработке в информационных системах персональных данных», методикойопределения актуальных угроз безопасности персональных данных при их обработкев информационных системах персональных данных, утвержденной заместителемдиректора ФСТЭК России 14 февраля 2008 года, а также:
«ЕМСПД» – единая мультисервисная сеть передачи данных. Подключение к данной сети ее участников осуществляется сприменением аппаратно-программных комплексов шифрования «Континент»,обеспечивающих идентификацию и аутентификацию пользователей, довереннуюзагрузку, контроль целостности программной среды, ведение журнала регистрациисобытий, ведение системного журнала безопасности. Данная сеть позволяетобеспечить защиту ИСПДн всех уровней и классовзащищенности уже на стадии создания;
«СВТ» – средства вычислительной техники;
«НСД» – несанкционированный доступ;
«НДВ» – недекларированныевозможности;
«СПО» – системное программное обеспечение;
«ППО» – прикладное программное обеспечение;
«СЗИ» – средства защиты информации;
«СКЗИ» – средства криптографической защиты информации.
2. Владельцы и операторы ИСПДн, сети передачи данных
2.1. Владельцами ИСПДн и ихоператорами являются федеральные органы или Органы, или Организации.
2.2. Владельцы ИСПДн и ихоператоры расположены в пределах территории Российской Федерации.
2.3. Контролируемой зоной ИСПДн,функционирующих в Органах (Организациях), являются здания и отдельныепомещения, принадлежащие им или арендуемые ими. Все СВТ, участвующие вобработке ПДн, располагаются в пределахконтролируемой зоны Органа (Организации). Вне контролируемой зоны находятся линии передачи данных ителекоммуникационное оборудование оператора связи (провайдера), используемоедля информационного обмена по сетям связи общего пользования (сетяммеждународного информационного обмена) и расположенное за пределами территорииОргана (Организации).
2.4. Локальные вычислительные сети передачи данных вОрганах и Организациях организованы по топологии «звезда» и имеют подключения кследующим сетям:
1) Внешним сетям (сетям провайдера). Подключение квнешним сетям организовано посредством следующих типов каналов связи:
- оптоволоконных каналов связи операторов связи(провайдеров);
- проводных каналов связи операторов связи(провайдеров).
2) Сетям Органов, Организаций иорганизаций (предприятий, учреждений), расположенных на территории Российской Федерации. Подключение к данным сетямосуществляется в соответствии с разработанными регламентами взаимодействия.Органы исполнительной власти Пензенской области и администрации муниципальных районов и городских округов Пензенскойобласти имеют подключение к ЕМСПД посредством защищенных каналов связи.
3) Иным сетям, взаимодействие скоторыми организовано Органами и Организациями с целью исполнения своихполномочий.
2.5. Подключение к сетям связи общего пользованияосуществляется Органами и Организациями при условии соблюдения ими мер позащите передаваемой информации, в том числе мер по защите подключения дляпередачи данных.
3. Объекты защиты и технологии обработкиПДн в ИСПДн
3.1. При определении Органами и Организациями УБ ПДн в конкретной ИСПДн защите подлежаткак минимум следующие объекты, входящие в ИСПДн:
- ПДн, обрабатываемые в ИСПДн;
- информационные ресурсы ИСПДн(файлы, базы данных и т.п.);
- СВТ, участвующие в обработке ПДнпосредством ИСПДн;
- СКЗИ;
- среда функционирования СКЗИ;
- информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующуюинформацию СКЗИ;
- документы, дела, журналы, картотеки, издания,технические документы, видео-, кино- и фотоматериалы, рабочие материалы и т.п.,в которых отражена защищаемая информация, относящаяся к ИСПДни их криптографической защите, включая документацию на СКЗИ и на технические ипрограммные компоненты среды функционирования СКЗИ;
- носители защищаемой информации, используемые в ИСПДн в том числе в процессе криптографической защиты ПДн, носители ключевой, парольной и аутентифицирующейинформации СКЗИ и порядок доступа к ним;
- используемые ИСПДн каналы (линии) связи, включая кабельные системы;
- сети передачи данных, не выходящие за пределыконтролируемой зоны ИСПДн;
- помещения, в которых обрабатываются ПДн посредством ИСПДн ирасполагаются компоненты ИСПДн;
- помещения, в которых находятся ресурсы ИСПДн, имеющие отношение к криптографической защите ПДн.
3.2. В состав СВТ, участвующих в обработке ПДн посредством ИСПДн, входят:
1) Автоматизированные рабочие места пользователей сразличными уровнями доступа (правами) (далее – АРМ).
АРМ представляет собой программно-аппаратный комплекс,позволяющий осуществлять доступ пользователей к ИСПДни предназначенный для локальной обработки информации.
2) Терминальная станция.
Терминальная станция представляет собойпрограммно-аппаратный комплекс, позволяющий осуществлять доступ пользователей кИСПДн, но не предназначенный для локальной обработкиинформации.
3) Серверное оборудование.
Серверное оборудование представляет собойпрограммно-аппаратный комплекс в совокупности с программным и информационнымобеспечением для его управления (общесистемное программное обеспечение(операционные системы физических серверов, виртуальных серверов, АРМ и т.п.),прикладное программное обеспечение (системы управления базами данных и т.п.)),предназначенный для обработки и консолидированного хранения данных ИСПДн.
Серверное оборудование может быть представлено АРМ,выполняющими функции сервера.
4) Сетевое и телекоммуникационное оборудование.
Сетевое и телекоммуникационное оборудованиепредставляет собой оборудование, используемое для информационного обмена междусерверным оборудованием, АРМ, терминальнымистанциями (коммутаторы, маршрутизаторы и т.п.).
5) Общесистемное программное обеспечение (операционныесистемы физических серверов, виртуальных серверов, АРМ и т.п.).
3.3. Ввод ПДн в ИСПДн в Органах и Организациях осуществляется как сбумажных носителей, так и с электронных носителей информации. ПДн выводятся из ИСПДн как вэлектронном, так и в бумажном виде с целью их хранения и (или) передачи третьимлицам.
4. ИСПДн
1) С целью исполнения своихполномочий Органами и Организациями обрабатываются все категории ПДн. Состав ПДн, подлежащихобработке в конкретной ИСПДн,цели обработки, действия (операции), совершаемые с ПДнв ИСПДн, определяются Органом (Организацией),являющимся оператором ИСПДн.
2) Обработка ПДн в ИСПДн осуществляется с соблюдением принципов и правил,предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Переченьобрабатываемых ПДн в ИСПДнсоответствует целям их обработки.
3) ИСПДн подразделяются на:
- ИСПДн, оператором которыхявляется сам Орган (Организация);
- ИСПДн, эксплуатируемыеОрганом (Организацией), но не в качестве ее оператора.
4) ИСПДн и ее компонентырасположены в пределах Российской Федерации.
5) ИСПДн подразделяются взависимости от технологии обработки ПДн, целей исостава ПДн на следующие категории:
- информационно-справочные;
- сегментные;
- внутриобластные;
- ведомственные;
- служебные.
6) Для всех категорий ПДн вышеуказанных категорий ИСПДннеобходимо обеспечивать следующиехарактеристики безопасности: конфиденциальность, целостность, доступность,подлинность.
7) В рамках ИСПДн возможна модификация и передача ПДн.
4.1. Информационно-справочные ИСПДн
4.1.1. Информационно-справочные ИСПДн используются для официального доведения любой информации до определенного илинеопределенного круга лиц, при этом факт доведения такой информации непорождает правовых последствий, однако может являться обязательным в силудействующего законодательства.
4.1.2. К основным информационно-справочным ИСПДн относятся:
- официальные порталы (сайты) Органов и Организаций;
- информационные порталы (сайты),которые ведутся конкретным Органом (Организацией) и посвящаются определенному проекту и (или) мероприятию,проводимому на территории Пензенской области (далее – информационные порталы(сайты));
- закрытые порталы для нескольких групп участниковОрганов и Организаций;
- региональный интернет-портал государственных и муниципальныхуслуг (функций) Пензенской области.
4.1.3. Официальныепорталы (сайты) Органов и Организаций.
4.1.3.1. Данные ИСПДнсодержат сведения о деятельности Органов и Организаций,в том числе сведения, подлежащие обязательному опубликованию в данных ИСПДн в соответствии с действующим законодательством.
4.1.3.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.1.3.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется посредством веб-интерфейсасотрудниками Органа (Организации), являющегося оператором ИСПДн, и гражданами всех стран мира. ПДнхранятся в базе данных ИСПДн и отображаются позапросу соответствующей страницы ИСПДн пользователямв соответствии с предоставленными правами.
4.1.3.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудникиОргана (Организации), являющегося оператором ИСПДн, играждане всех стран мира.
4.1.3.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации), и (или) на серверномоборудовании иного Органа (Организации) впределах его контролируемой зоны, и (или) на вычислительных ресурсахоблачного провайдера.
4.1.3.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
4.1.3.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.1.3.8. Характерные уровни защищенности ИСПДн: УЗ 4 – УЗ 3.
4.1.4. Информационныепорталы (сайты).
4.1.4.1. Данные ИСПДнсодержат сведения о мероприятиях, проводимых Органами (Организациями) всоответствии с функциями и полномочиями Органов (Организаций).
4.1.4.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.1.4.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется посредством веб-интерфейсасотрудниками Органа (Организации), являющегося оператором ИСПДн, и гражданами всех стран мира. ПДнхранятся в базе данных ИСПДн и отображаются позапросу соответствующей страницы ИСПДн пользователямв соответствии с предоставленными правами.
4.1.4.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегосяоператором ИСПДн, и граждане всех стран мира.
4.1.4.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации), и (или) на серверномоборудовании иного Органа (Организации) впределах его контролируемой зоны, и (или) на вычислительных ресурсахоблачного провайдера.
4.1.4.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
4.1.4.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.1.4.8. Характерные уровни защищенности ИСПДн: УЗ 4.
4.1.5. Закрытыепорталы для нескольких групп участников Органов и (или) Организаций.
4.1.5.1. Данные ИСПДн содержат сведения, предоставляемые ограниченному круг лиц из числа Органов и (или) Организаций всоответствии с функциями и полномочиями Органов (Организаций).
4.1.5.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.1.5.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов и (или) Организаций посредствомвеб-интерфейса в соответствии с предоставленными правами. ПДнхранятся в базе данных ИСПДн и отображаются позапросу соответствующей страницы ИСПДн пользователямв соответствии с предоставленными правами.
4.1.5.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудникиОрганов и (или) Организаций.
4.1.5.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации), и (или) на серверномоборудовании иного Органа (Организации) впределах его контролируемой зоны, и (или) на вычислительных ресурсахоблачного провайдера.
4.1.5.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
4.1.5.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.1.5.8. Характерные уровни защищенности ИСПДн: УЗ 4 – УЗ 3.
4.1.6. Региональный интернет-портал государственных и муниципальных услуг(функций) Пензенской области.
4.1.6.1. Данная ИСПДнсодержит социально значимую информацию и сведения, необходимые для получениягражданами государственных и муниципальных услуг в электронном виде.
4.1.6.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.1.6.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется в соответствии спредоставленными правами сотрудниками Органов (Организаций) и гражданами всех стран мира в режимевеб-интерфейса.
ПДн обрабатываются в деперсонифицированном(обезличенном) виде. Запрашиваемые данные не позволяют однозначноидентифицировать субъекта ПДн без использованиясторонних баз данных. После получения запрашиваемых данных ИСПДндля получения ответа на запрос субъекта ПДн передаетего данные по закрытым каналам связи в ИСПДн иныхОрганов (Организаций), в чью компетенцию входит предоставление информации позапросу субъекта. Ответ на запрос (сведения о ходе исполнения запроса) субъектаотображается в данной ИСПДн.
4.1.6.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегосяоператором ИСПДн, и граждане всех стран мира.
4.1.6.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации), и (или) на серверномоборудовании иного Органа (Организации) впределах его контролируемой зоны, и (или) на вычислительных ресурсахоблачного провайдера.
4.1.6.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
4.1.6.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.1.6.8. Характерные уровни защищенности ИСПДн: УЗ 4.
4.2. Сегментные ИСПДн
4.2.1. Сегментные ИСПДнпредставляют собой сегменты федеральных ИС, создаются и эксплуатируются науровне Пензенской области на основании предоставляемых с федерального уровнярекомендаций (правовых, организационных, технических) и используются для сбора,обработки, свода данных на уровне Пензенской области и передачи их на уровеньфедеральный, и наоборот, при этом цели и задачи создания (модернизации),эксплуатации данных ИС определяются на федеральном уровне. Данные ИСПДн предназначены для реализации полномочий федеральныхорганов власти и исполнения функций Органов (Организаций).
4.2.2. К основным сегментным ИСПДнотносятся:
- региональный сегмент Министерства здравоохраненияРоссийской Федерации «Направлениеграждан на оказание высокотехнологичной медицинской помощи»;
- региональный банк данных о детях,оставшихся без попечения родителей, Министерства образования Пензенскойобласти.
4.2.3. Обработке в ИСПДнмогут подлежать все категории ПДн.
4.2.4. Режим обработки ПДн вИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется в соответствии спредоставленными правами сотрудниками Органов (Организаций) в специализированных программах и (или)посредством веб-интерфейса, и в отдельных случаях гражданами всех стран мира врежиме веб-интерфейса (с ограниченными правами доступа).
4.2.5. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: граждане всехстран мира.
4.2.6. Структура ИСПДн: распределенная или локальная, функционирующая в контролируемой зоне Органа (Организации).
4.2.7. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДнс федеральным уровнем (федеральным сегментом), между региональными сегментами ИСПДн (при наличии) и с иными ИСПДносуществляется в зависимости от технологии подключения к сетям связи общегопользования (сетям международного информационного обмена):
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием иных средств защиты информации,передаваемой по открытым каналам связи.
4.2.8. СВТ, участвующие в обработке: АРМ, терминальнаястанция, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.2.9. Потехнологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливаетсяспециальное клиентское приложение, осуществляющее подключение к серверномусегменту, располагающемуся в пределах контролируемой зоны Органа (Организации),и передающее данные на центральный сегмент или напрямую в центральный;
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливаетсяспециальное клиентское приложение, осуществляющее выгрузку данных на локальныйноситель и последующую передачу выгруженных данных посредством защищенногоканала связи или нарочно;
- построенные по технологии тонкого клиента: нарабочие места пользователей ИСПДн передается толькографическая информация, сама обработка данных осуществляется на удаленномсерверном сегменте, располагающемся в пределах контролируемой зоны Органа(Организации) и передающем данные на центральный сегмент, или на центральномсегменте.
ИСПДн , реализованные по технологиитонкого клиента, подразделяются на:
- реализованные посредствомвеб-интерфейса с применением веб-браузер аи с авторизацией с помощью логина и пароля,и (или) электронного сертификата, и (или) сертификата электроннойподписи в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Обэлектронной подписи»;
- реализованные с использованиемтерминального доступа с авторизацией спомощью логина и пароля, и (или) электронного сертификата, и (или) сертификатаэлектронной подписи в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ«Об электронной подписи».
4.2.10. Характерные уровни защищенности ИСПДн: УЗ 3 – УЗ 1.
4.3. Внутриобластные ИСПДн
4.3.1. Внутриобластные ИСПДн создаются и эксплуатируются по желанию (на основании решения) Правительства Пензенскойобласти (муниципальных образований, городских округов) или Органа (Организации)в интересах нескольких Органов (Организаций), при этом цели и задачи создания (модернизации),эксплуатации данных ИСПДн, а также требования к нимопределяются на уровне Пензенской области (муниципальных образований, городскихокругов) или Органа (Организации) соответственно.
4.3.2. По выполняемым функциям ИСПДнподразделяются на:
- интеграционные (системамежведомственного электронного взаимодействия Пензенской области (СМЭВ);
- многопрофильные (например, единая системаэлектронного документооборота иделопроизводства органов исполнительной власти Пензенской области и органов местного самоуправления Пензенской области(СЭДД); автоматизированная информационная система поддержки деятельностимногофункциональных центров предоставления государственных и муниципальныхуслуг Пензенской области (АИС МФЦ);
- ИСПДн для Органов,Организаций и иных организаций (предприятий, учреждений) Пензенской области.
4.3.3.ИСПДн интеграционные.
4.3.3.1. Данные ИСПДнхарактеризуются отсутствием пользователей (кроме администраторов ИСПДн и администраторов безопасности ИСПДн)и функционируют исключительно в целях интеграции и передачи данных между ИСПДн иных категорий.
4.3.3.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- специальные;
- иные;
- общедоступные.
4.3.3.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов (Организаций) в специализированныхпрограммах и (или) посредствомвеб-интерфейса в соответствии с предоставленными правами.
4.3.3.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: гражданевсех стран мира.
4.3.3.5. Структура ИСПДн: локальная или распределенная, функционирующая в контролируемой зоне Органа (Организации).
4.3.3.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДнс федеральным уровнем и с иными ИСПДн осуществляетсяв зависимости от технологии подключения к сетям связи общего пользования (сетяммеждународного информационного обмена):
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием иных средств защиты информации,передаваемой по открытым каналам связи.
4.3.3.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.3.3.8. Характерные уровни защищенности ИСПДн: УЗ 3 – УЗ 1.
4.3.4.ИСПДн многопрофильные.
4.3.4.1. Данная ИСПДн предназначена для централизованной автоматизации делопроизводства и документооборота, учетакорреспонденции, обращений граждан, обеспечения доступа к электроннымдокументам и т.п. в Органах.
4.3.4.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- специальные;
- иные;
- общедоступные.
4.3.4.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов (Организаций) в специализированныхпрограммах в соответствии с предоставленными правами.
4.3.4.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: граждане всехстран мира.
4.3.4.5. Структура ИСПДн:локальная или распределенная, функциони-рующаяв контролируемой зоне Органа (Организации).
4.3.4.6. ИСПДн подключена ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДнс иными ИСПДн осуществляется в зависимости оттехнологии подключения к сетям связи общего пользования (сетям международногоинформационного обмена):
- посредством ЕМСПД;
- с использованием сторонних СКЗИ.
4.3.4.7. СВТ, участвующие в обработке: АРМ, серверное оборудование,сетевое и телекоммуникационное оборудование.
4.3.4.8. Характерные уровни защищенности ИСПДн: УЗ 3 – УЗ 2.
4.3.5. ИСПДн для Органов,Организаций и иных организаций (предприятий, учреждений) Пензенской области.
4.3.5.1. Данные ИСПДнпредназначены для автоматизации совместной деятельности Органов, Организаций ииных организаций (предприятий, учреждений) Пензенской области, в том числедеятельности, которая необходима к исполнению в соответствии с требованиямидействующего законодательства.
4.3.5.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.3.5.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется в соответствии спредоставленными правами сотрудниками Органов (Организаций) иорганизациями (предприятиями, учреждениями) Пензенской области вспециализированных программах в режиме веб-интерфейса.
4.3.5.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудникиОрганов (Организаций) и организаций (предприятий, учреждений) Пензенскойобласти.
4.3.5.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.3.5.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДнс иными ИСПДн осуществляется в зависимости оттехнологии подключения к сетям связи общего пользования (сетям международногоинформационного обмена):
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием сторонних СКЗИ.
4.3.5.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.3.5.8. Характерные уровни защищенности ИСПДн: УЗ 3 – УЗ 2.
4.3.6. По архитектуре внутриобластные ИСПДн подразделяются на:
- сегментированные;
- централизованные;
- смешанные.
4.3.6.1. Сегментированные ИСПДнделятся на сегменты (центральный и периферийный), функционирующие независимо.
Центральный сегмент являетсяединой точкой консолидации информации, получаемой от периферийных сегментов.
Периферийные сегменты являются непосредственноточками, которые отвечают за наполнение и первоначальную обработку информации.В состав периферийных сегментов входят АРМ, а также АРМ, выполняющий функциисервера, или серверное оборудование. Пользователи периферийных сегментовподключаются к расположенному в пределах контролируемой зоны АРМ, выполняющемуфункции сервера, или серверному оборудованию, осуществляющему консолидациюсведений на уровне периферийного сегмента, который в свою очередь передаетполученные данные в центральный сегмент.
Потехнологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливаетсяспециальное клиентское приложение, осуществляющее подключение к АРМ,выполняющему функции сервера, или серверному сегменту, располагающемуся впределах контролируемой зоны Органа (Организации) и передающему данные нацентральный сегмент;
- построенные по технологии тонкого клиента: на рабочиеместа пользователей ИСПДн передается толькографическая информация, сама обработка данных осуществляется на серверномсегменте, располагающемся в пределах контролируемой зоны Органа (Организации) ипередающем данные на центральный сегмент.
ИСПДн , реализованные по технологиитонкого клиента, подразделяются на:
- реализованные посредствомвеб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) сертификата электроннойподписи в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Обэлектронной подписи»;
- реализованные с использованиемтерминального доступа с авторизацией спомощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи».
4.3.6.2. Централизованные ИСПДнделятся на сегменты (центральный и периферийный).
Центральный сегмент является единой точкойконсолидации информации, получаемой от периферийных сегментов.
В состав периферийных сегментов входят только АРМ, которыеявляются непосредственно точками, которые отвечают за наполнение ипервоначальную обработку информации. Пользователи периферийных сегментовподключаются напрямую к центральному сегменту и осуществляют обработку данныхнепосредственно на нем.
По технологииобработки ИСПДнподразделяются на:
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливаетсяспециальное клиентское приложение, осуществляющее подключение к центральномусегменту;
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливаетсяспециальное клиентское приложение, осуществляющее выгрузку данных на локальныйноситель и последующую передачу выгруженных данных посредством защищенногоканала связи или нарочно;
- построенные по технологии тонкого клиента: нарабочие места пользователей ИСПДн передается толькографическая информация, сама обработка данных осуществляется на центральномсегменте.
ИСПДн , реализованные по технологиитонкого клиента, подразделяются на:
- реализованные посредствомвеб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) сертификата электроннойподписи в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Обэлектронной подписи»;
- реализованные с использованиемтерминального доступа с авторизацией спомощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011№ 63-ФЗ «Об электронной подписи».
4.3.6.3. Смешанные ИСПДнпостроены с одновременным применением сегментированных и централизованныхархитектур. Данные ИСПДн могут объединять в себе технологии обработки,характерные как для сегментированных ИСПДн,так и для централизованных ИСПДн.
4.4. Ведомственные ИСПДн
4.4.1. Ведомственные ИСПДнсоздаются (эксплуатируются) по решению Органа (Организации) в своих интересах иинтересах подведомственных ему организаций(предприятий, учреждений), цели и задачи создания (модернизации),эксплуатации которых определяются Органом (Организацией). Ведомственные ИСПДн предназначены для исполнения функций Органов(Организаций).
4.4.2. К основным ведомственным ИСПДнотносятся АИС ЗАГС.
4.4.3. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- специальные;
- иные.
4.4.4. Режим обработки ПДн вИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов (Организаций) в специализированныхпрограммах и (или) посредствомвеб-интерфейса в соответствии с предоставленными правами.
4.4.5. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники оператора ИСПДни иных Органов (Организаций), а также сторонние граждане.
4.4.6. Структура ИСПДн: распределенная или локальная, функционирующая в контролируемой зоне Органа (Организации).
4.4.7. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДнмежду сегментами ИСПДн (при наличии) и с иными ИСПДн осуществляется в зависимости от технологииподключения к сетям связи общего пользования (сетям международного информационногообмена):
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием сторонних СКЗИ.
Также обмен ПДн междусегментами ИСПДн (при наличии) и с иными ИСПДн может осуществляться посредством собственныхкорпоративных сетей Органа (Организации).
4.4.8. СВТ, участвующие в обработке: АРМ, терминальнаястанция, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.4.9. Характерные уровни защищенности ИСПДн: УЗ 3 – УЗ 1.
4.4.10. По архитектуре ведомственные ИСПДн подразделяются на:
- сегментированные;
- централизованные;
- смешанные.
4.4.10.1. Сегментированные ИСПДнделятся на сегменты (центральный и периферийный), функционирующие независимо.
Центральный сегмент является единойточкой консолидации информации ,получаемой от периферийных сегментов.
Периферийные сегменты являются непосредственноточками, которые отвечают за наполнение и первоначальную обработку информации.В состав периферийных сегментов входят АРМ, а также АРМ, выполняющий функциисервера, или серверное оборудование. Пользователи периферийных сегментовподключаются к расположенному в пределах контролируемой зоны АРМ, выполняющемуфункции сервера, или серверному оборудованию, осуществляющему консолидациюсведений на уровне периферийного сегмента, который в свою очередь передаетполученные данные в центральный сегмент.
Потехнологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливается специальноеклиентское приложение, осуществляющее подключение к АРМ, выполняющему функциисервера, или серверному сегменту, располагающемуся в пределах контролируемойзоны Органа (Организации) и передающему данные на центральный сегмент;
- построенные по технологии тонкого клиента: нарабочие места пользователей ИСПДн передается толькографическая информация, сама обработка данных осуществляется на серверномсегменте, располагающемся в пределах контролируемой зоны Органа (Организации) ипередающем данные на центральный сегмент.
ИСПДн , реализованные по технологиитонкого клиента, подразделяются на:
- реализованные посредствомвеб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) сертификата электроннойподписи в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Обэлектронной подписи»;
- реализованные с использованиемтерминального доступа с авторизацией спомощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011№ 63-ФЗ «Об электронной подписи».
4.4.10.2. Централизованные ИСПДнделятся на сегменты (центральный и периферийный).
Центральный сегмент является единой точкойконсолидации информации, получаемой от периферийных сегментов.
В состав периферийных сегментов входят только АРМ,которые являются непосредственно точками, которые отвечают за наполнение ипервоначальную обработку информации. Пользователи периферийных сегментовподключаются напрямую к центральному сегменту и осуществляют обработку данныхнепосредственно на нем.
Потехнологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливаетсяспециальное клиентское приложение, осуществляющее подключение к центральномусегменту;
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливаетсяспециальное клиентское приложение, осуществляющее выгрузку данных на локальныйноситель и последующую передачу выгруженных данных посредством защищенногоканала связи или нарочно;
- построенные по технологии тонкого клиента: нарабочие места пользователей ИСПДн передается толькографическая информация, сама обработка данных осуществляется на центральномсегменте.
ИСПДн , реализованные по технологиитонкого клиента, подразделяются на:
- реализованные посредствомвеб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) сертификата электроннойподписи в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электроннойподписи»;
- реализованные с использованиемтерминального доступа с авторизацией спомощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011№ 63-ФЗ «Об электронной подписи».
4.4.10.3. Смешанные ИСПДнпостроены с одновременным применением сегментированных и централизованныхархитектур. Данные ИСПДн могут объединять в себе технологии обработки,характерные как для сегментированных ИСПДн,так и для централизованных ИСПДн.
4.5. Служебные ИСПДн
4.5.1. Служебные ИСПДнсоздаются (эксплуатируются) по желанию (на основании решения) Органа(Организации) и его лиц в интересах Органа (Организации) и его лиц, цели изадачи создания (модернизации), эксплуатации которых определяются Органом(Организацией), и используются для автоматизации определённой областидеятельности или типовой деятельности, неспецифичной относительно полномочийконкретного Органа (Организации). Служебные ИСПДнпредназначены для управления бизнес-процессами в Органе (Организации).
4.5.2. К основным служебным ИСПДнотносятся:
- ИСПДн бухгалтерскогоучета и управления финансами;
- ИСПДн кадрового учета и управления персоналом;
- ИСПДн пенсионного фонда и налоговых служб;
- ИСПДн документооборота и делопроизводства;
- ИСПДн поддерживающие.
4.5.3. ИСПДн бухгалтерскогоучета и управления финансами.
4.5.3.1. Данные ИСПДнпредназначены для автоматизации деятельности Органа(Организации), связанной с ведением бухгалтерского учета и управлениемфинансами.
4.5.3.2. Обработке в ИСПДнподлежат иные категории ПДн.
4.5.3.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов (Организаций) в специализированныхпрограммах и (или) посредствомвеб-интерфейса в соответствии с предоставленными правами.
4.5.3.4. Типысубъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегосяоператором ИСПДн.
4.5.3.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.3.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Передача ПДнв иные ИСПДн осуществляется в зависимости оттехнологии подключения к сетям связиобщего пользования (сетям международного информационного обмена):
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- с использованием сторонних СКЗИ.
4.5.3.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.5.3.8. Потехнологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: нарабочие места пользователей ИСПДн устанавливаетсяспециальное клиентское приложение, осуществляющее подключение к базе данных,которая хранится на серверном сегменте (сервере / АРМ, выполняющем функциюсервера), располагающемся в пределах контролируемой зоны Органа (Организации);
- построенные по технологии тонкого клиента: нарабочие места пользователей ИСПДн передается толькографическая информация, сама обработка данных осуществляется на удаленномсерверном сегменте (сервере / АРМ, выполняющем функцию сервера),располагающемся в пределах контролируемой зоны Органа (Организации).
Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина ипароля (предъявления идентификатора).
4.5.3.9. Характерные уровни защищенности ИСПДн: УЗ 4 – УЗ 3.
4.5.4. ИСПДн кадрового учетаи управления персоналом.
4.5.4.1. Данные ИСПДнпредназначены для автоматизации деятельности Органа (Организации), связанной сведением кадрового учета и управления персоналом.
4.5.4.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- специальные;
- иные.
4.5.4.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов (Организаций)в специализированных и (или) стандартных офисных программах, и (или)посредством веб-интерфейса в соответствии с предоставленными правами.
4.5.4.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегосяоператором ИСПДн, граждане РоссийскойФедерации, устанавливающие (имеющие) трудовые отношения(трудовые договоры, служебные контракты) с Органом (Организацией).
4.5.4.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.4.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Передача ПДнв иные ИСПДн осуществляется в зависимости оттехнологии подключения к сетям связиобщего пользования (сетям международного информационного обмена):
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- с использованием сторонних СКЗИ.
4.5.4.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.5.4.8. Технологияобработки ПДн в ИСПДнпостроена по принципу толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение,осуществляющее подключение к базе данных,которая хранится на серверном сегменте (сервере / АРМ, выполняющемфункцию сервера), располагающемся в пределах контролируемой зоны Органа(Организации). Доступ к ПДн в ИСПДнпредоставляется пользователю после ввода логина и пароля (предъявленияидентификатора).
4.5.4.9. Характерные уровни защищенности ИСПДн: УЗ 4 – УЗ 2.
4.5.5. ИСПДн пенсионногофонда и налоговых служб.
4.5.5.1. Данные ИСПДнпредназначены для автоматизации деятельности Органа (Организации), связанной сосуществлением пенсионных отчислений и уплатой налогов.
4.5.5.2. Обработке в ИСПДнподлежат иные категории ПДн.
4.5.5.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов(Организаций) в специализированных программах и (или) посредствомвеб-интерфейса в соответствии с предоставленными правами.
4.5.5.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегосяоператором ИСПДн.
4.5.5.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.5.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Передача ПДнв иные ИСПДн осуществляется в зависимости оттехнологии подключения к сетям связиобщего пользования (сетям международного информационного обмена):
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- с использованием сторонних СКЗИ.
4.5.5.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.5.5.8. Технологияобработки ПДн в ИСПДнпостроена по принципу толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальноеклиентское приложение, осуществляющее подключение к серверному сегменту (серверу / АРМ, выполняющему функциюсервера), располагающемуся вне контролируемой зоны Органа (Организации).Доступ к ПДн в ИСПДнпредоставляется пользователю после ввода логина и пароля (предъявленияидентификатора).
4.5.5.9. Характерные уровни защищенности ИСПДн: УЗ 4 – УЗ 3.
4.5.6. ИСПДндокументооборота и делопроизводства.
4.5.6.1. Данные ИСПДн предназначеныдля автоматизации деятельности Органа (Организации), связанной с осуществлениемдокументооборота и делопроизводства.
4.5.6.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- специальные;
- иные;
- общедоступные.
4.5.6.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов (Организаций) в специализированныхпрограммах в соответствии с предоставленными правами.
4.5.6.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегосяоператором ИСПДн, и граждане всех стран мира.
4.5.6.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.6.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- подключенные с использованием иных каналов связи.
Передача ПДнв иные ИСПДн осуществляется в зависимости оттехнологии подключения к сетям связиобщего пользования (сетям международного информационного обмена):
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием сторонних СКЗИ.
4.5.6.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.5.6.8. Технологияобработки ПДн в ИСПДнпостроена по принципу толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальноеклиентское приложение, осуществляющее подключение к базе данных, котораяхранится на серверном сегменте (сервере / АРМ, выполняющем функциюсервера), располагающемся в пределах контролируемой зоны Органа (Организации).Доступ к ПДн в ИСПДнпредоставляется пользователю после ввода логина и пароля (предъявленияидентификатора).
4.5.6.9. Характерные уровни защищенности ИСПДн: УЗ 4 – УЗ 2.
4.5.7. ИСПДн поддерживающие.
4.5.7.1. Данные ИСПДнпредназначены для автоматизации деятельности Органа (Организации), связанной сосуществлением им (его сотрудниками) своих функций, полномочий и задач.
4.5.7.2. Категории ПДн,которые могут подлежать обработке в ИСПДн:
- специальные;
- иные;
- общедоступные.
4.5.7.3. Режим обработки ПДнв ИСПДн: многопользовательский, ИСПДнпредусматривает разграничение доступа. Обработка ПДносуществляется сотрудниками Органов(Организаций) в специализированных и (или) стандартных офисныхпрограммах, и (или) посредством веб-интерфейса в соответствии спредоставленными правами.
4.5.7.4. Типы субъектов ПДн,которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегосяоператором ИСПДн, и граждане всех стран мира.
4.5.7.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.7.6. ИСПДн подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения ИСПДн делятся на:
- без подключения (передача ПДносуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн не осуществляется.
4.5.7.7. СВТ, участвующие в обработке: АРМ, серверноеоборудование, сетевое и телекоммуникационное оборудование.
4.5.7.8. Потехнологии обработки ИСПДн подразделяются на:
- построенные по принципу толстого клиента: на рабочиеместа пользователей ИСПДн устанавливается специальноеклиентское приложение, осуществляющееподключение к серверному сегменту (серверу / АРМ, выполняющему функциюсервера), располагающемуся в пределах контролируемой зоны Органа (Организации);
- построенные на базе стандартного офисногопрограммного обеспечения: ИСПДн представляет собойбазу данных в формате стандартного офисного приложения, обрабатываемую ихранящуюся на АРМ;
- построенные по веб-технологии: пользователи работаютв ИСПДн посредством веб-интерфейса, подключающегося клокальному веб-серверу, располагающемуся в пределах контролируемой зоны Органа(Организации).
Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина ипароля (предъявления идентификатора).
4.5.7.9. Характерные уровни защищенности ИСПДн: УЗ 4 – УЗ 2.
5. УБ ПДн,выявленные при функционировании ИСПДн
5.1.Источники УБ ПДн.
Источниками УБ ПДн в ИСПДн выступают:
- носитель вредоносной программы;
- аппаратная закладка;
- нарушитель.
5.1.1. Носительвредоносной программы.
Носителем вредоносной программы может быть аппаратныйэлемент компьютера или программный контейнер. Если вредоносная программа не ассоциируетсяс какой-либо прикладной программой, то в качестве ее носителя рассматриваются:
- отчуждаемый носитель, то есть дискета, оптическийдиск (CD-R, CD-RW и т.п.), флэш-память, отчуждаемый винчестер и т.п.;
- встроенные носители информации(винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств,встраиваемых в системный блок, – видеоадаптера, сетевой платы, звуковой платы,модема, устройств ввода/вывода магнитных жестких и оптических дисков, блокапитания и т.п., микросхемы прямого доступа к памяти, шин передачи данных,портов ввода/вывода;
- микросхемы внешних устройств (монитора, клавиатуры,принтера, модема, сканера и т.п.).
Если вредоносная программа ассоциируется с какой-либоприкладной программой, файлами, имеющими определенные расширения или иныеатрибуты, сообщениями, передаваемыми по сети, то ее носителями являются:
- пакеты передаваемых по компьютерной сети сообщений;
- файлы (текстовые, графические, исполняемые и т.д.).
5.1.2. Аппаратнаязакладка.
Потенциально может рассматриваться возможностьприменения аппаратных средств, предназначенных длярегистрации вводимой в ИСПДн с клавиатуры АРМинформации (ПДн), например:
- аппаратная закладка внутри клавиатуры;
- считывание данных с кабеля клавиатуры бесконтактнымметодом;
- включение устройства в разрыв кабеля;
- аппаратная закладка внутри системного блока и др.
Однако в виду отсутствия возможности неконтролируемогопребывания физических лиц в служебных помещениях, в которых размещенытехнические средства ИСПДн, или в непосредственнойблизости от них, соответственно отсутствует возможность установки аппаратныхзакладок посторонними лицами.
Существование данного источника маловероятно такжеиз-за несоответствия стоимости аппаратных закладок, сложности их скрытойустановки и полученной в результате информации.
5.1.3. Нарушитель.
Под нарушителем безопасности информации понимаетсяфизическое лицо, случайно или преднамеренно совершающее действия, следствиемкоторых является нарушение безопасности ПДн при ихобработке в ИСПДн.
По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на три типа:
- Внешний нарушитель. Данный тип нарушителя не имеетправа постоянного или имеет право разового (контролируемого) доступа в КЗ, атакже не имеет доступа к техническим средствам и ресурсам ИСПДн,расположенным в пределах КЗ, или он ограничен и контролируется. Данный типнарушителя может реализовывать угрозы из внешних сетей связи общего пользованияи (или) сетей международного информационного обмена;
- Внутренний нарушитель, имеющий доступ к ИСПДн. Данный тип нарушителя имеет право постоянного(периодического) доступа на территорию КЗ, а также доступ к техническимсредствам и ресурсам ИСПДн, расположенным в пределахКЗ. Данный тип нарушителя может проводить атаки с использованием внутренней(локальной) сети передачи данных и непосредственно в ИСПДн;
- Внутренний нарушитель, не имеющий доступ к ИСПДн. Данный тип нарушителя имеет право постоянного(периодического) доступа на территорию КЗ, но не имеет доступ к техническимсредствам и ресурсам ИСПДн, расположенным в пределахКЗ. Данный тип нарушителя может проводить атаки с использованием внутренней(локальной) сети передачи данных.
5.2.Основные УБ ПДн в ИСПДн.
Основными группами УБ ПДн в ИСПДн являются:
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- УгрозыНСД к информации в результате слабости процедур разграничения ролей иполномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием суперкомпьютерныхтехнологий;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правилэксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО,СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системырегистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемойинформации при ее передаче по каналам связи.
6. Актуальные УБ ПДнв ИСПДн
В настоящем разделе документа приведены группыактуальных УБ ПДн в ИСПДниз групп, указанных в пункте 5.2 настоящего документа, исходя из содержания ПДн, характера и способов их обработки.
6.1.Информационно-справочные ИСПДн.
6.1.1.Официальные порталы (сайты) Органов и Организаций.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.1.2.Информационные порталы (сайты).
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании,внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО,СЗИ, СКЗИ, аппаратных компонентах ИСПДн,микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системырегистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.1.3. Закрытыепорталы для нескольких групп участников Органов и (или) Организаций.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.1.4. Региональный интернет-портал государственных и муниципальных услуг(функций) Пензенской области .
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостейв СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.2.Служебные ИСПДн.
6.2.1. ИСПДн бухгалтерскогоучета и управления финансами.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.2.2. ИСПДн кадрового учетаи управления персоналом.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостейв СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.2.3. ИСПДн пенсионногофонда и налоговых служб.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатацииуязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.2.4. ИСПДндокументооборота и делопроизводства.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.2.5. ИСПДн поддерживающие.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостейв СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.3.Ведомственные ИСПДн.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системы информационнойбезопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.4.Внутриобластные ИСПДн.
6.4.1. ИСПДн интеграционные.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.4.2. ИСПДн многопрофильные.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылкидля реализации НСД в результате нарушенияпроцедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании,внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.4.3. ИСПДн для Органов,Организаций и иных организаций (предприятий, учреждений) Пензенской области.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушенияпроцедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информациипри ее передаче по каналам связи.
6.5.Сегментные ИСПДн.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающиепредпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабостипроцедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей припроектировании, внедрении ИСПДн/системыинформационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологийвиртуализации;
- Угрозы, связанные с нарушением правил эксплуатациимашинных носителей;
- Угрозы, связанные с нарушением процедурустановки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ,СКЗИ, аппаратных компонентах ИСПДн, микропрограммномобеспечении;
- Угрозы, связанные с использованием сетевыхтехнологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрациисобытий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватомзащищаемой информации при ее передаче поканалам связи.
7. Меры, направленные на минимизацию УБ ПДн в ИСПДн
При обработке ПДн в ИСПДн Органы (Организации) применяют правовые,организационные и технические меры, установленные Концепцией информационнойбезопасности Пензенской области и действующим законодательством, а такжеруководствуются положениями следующих нормативных правовых актов:
- Федеральный закон Российской Федерации от 27 июля2006 года № 152-ФЗ «О персональных данных»;
- постановление ПравительстваРоссийской Федерации от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке винформационных системах персональных данных»;
- постановление ПравительстваРоссийской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер,направленных на обеспечение выполнения обязанностей, предусмотренныхФедеральным законом «О персональных данных» и принятыми в соответствии с нимнормативными правовыми актами, операторами,являющимися государственными или муниципальными органами»;
- приказ ФСТЭК России от 18 февраля 2013 года № 21 «Обутверждении Состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных»;
- приказ ФСТЭК России от 11 февраля 2013 года № 17 «Обутверждении Требований о защите информации, не составляющей государственнуютайну, содержащейся в государственных информационных системах»;
- приказ ФСБ России от 10 июля 2014 года № 378 «Обутверждении состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных с использованием средств криптографической защитыинформации, необходимых для выполнения установленных Правительством РоссийскойФедерации требований к защите персональных данных для каждого из уровнейзащищенности»;
- «Базовая модель угроз безопасности персональныхданных при их обработке в информационных системах персональных данных»,утвержденная заместителем директора ФСТЭК России 15 февраля 2008 года;
- «Методика определения актуальных угроз безопасностиперсональных данных при их обработке в информационных системах персональныхданных», утвержденная заместителем директора ФСТЭК России 14 февраля 2008 года;
- «Методические рекомендации по составлению Частноймодели угроз безопасности персональных данных при их обработке в информационныхсистемах персональных данных учреждений здравоохранения, социальной сферы,труда и занятости» Минздравсоцразвития России,согласованные с ФСТЭК России 22 декабря 2009 года;
- «Модель угроз типовой медицинской информационнойсистемы (МИС) типового лечебногопрофилактического учреждения (ЛПУ)», МинздравсоцразвитияРоссии, согласованная с ФСТЭК России 27 ноября 2009 года;
- «Модель угроз и нарушителя безопасности персональныхданных, обрабатываемых в типовых информационных системах персональных данных отрасли», согласованная с ФСТЭК России, ФСБ Россиии одобренная Решением секции № 1Научно-технического совета Минкомсвязи России«Научно-техническое и стратегическое развитие отрасли» от 21 апреля 2010года № 2;
- руководящий документ «Автоматизированныесистемы. Защита от несанкционированного доступа к информации. Классификацияинформационных систем и требования по защите информации», утвержденныйрешением Государственной техническойкомиссии при Президенте Российской Федерации от 30 марта 1992 года;
- «Специальные требования и рекомендации потехнической защите конфиденциальной информации (СТР-К)», утвержденные решениемКоллегии Гостехкомиссии России № 7.2/02.03.01;
- «Методические рекомендации по разработке нормативныхправовых актов, определяющих угрозы безопасности персональных данных,актуальные при обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществлении соответствующих видовдеятельности», утвержденные руководством 8 Центра ФСБ России (№149/7/2/6-432 от31 марта 2015 года).
Реализация правовых, организационных и техническихмер, направленных на минимизацию УБ ПДн в ИСПДн, осуществляется специалистами по информационнойбезопасности (технической защите информации) Органов (Организаций),ответственными за планирование, организацию и реализацию мероприятий пообеспечению информационной безопасности в Органе (Организации).
____________
| Приложение №1 «Актуальные угрозы безопасности персональных данных при обработке в информационных системах персональных данных» |
П Е Р Е Ч Е Н Ь
угроз безопасности персональных данных в информационных системахперсональных данных
| № п/п | Наименование УБ ПДн в ИСПДн | Источники УБ ПДн | Объект воздействия |
| 1 | 2 | 3 | 4 |
| 1. | Угрозы утечки информации по техническим каналам | ||
| 1.1 | Угрозы утечки акустической информации | ||
| 1.1.1 | Использование направленных (ненаправленных) микрофонов воздушной проводимости для съема акустического излучения информативного речевого сигнала | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.1.2 | Использование «контактных микрофонов» для съема виброакустических сигналов | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.1.3 | Использование «лазерных микрофонов» для съема виброакустических сигналов | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.1.4 | Использование средств ВЧ-навязывания для съема электрических сигналов, возникающих за счет «микрофонного эффекта» в ТС обработки информации и ВТСС (распространяются по проводам и линиям, выходящим за пределы служебных помещений) | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.1.5 | Применение средств ВЧ-облучения для съема радиоизлучения, модулированного информативным сигналом, возникающего при непосредственном облучении ТС обработки информации и ВТСС ВЧ-сигналом | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.1.6 | Применение акустооптических модуляторов на базе волоконно-оптической, находящихся в поле акустического сигнала («оптических микрофонов») | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.2 | Угрозы утечки видовой информации | ||
| 1.2.1 | Визуальный просмотр на экранах дисплеев и других средств отображения СВТ, ИВК, входящих в состав ИC | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.2.2 | Визуальный просмотр с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, ИВК, входящих в состав ИС | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.2.3 | Использование специальных электронных устройств съема видовой информации (видеозакладки) | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.3 | Угрозы утечки информации по каналам ПЭМИН | ||
| 1.3.1 | Применение специальных средств регистрации ПЭМИН, от ТС и линий передачи информации (программно-аппаратный комплекс (далее – ПАК), сканерные приемники, цифровые анализаторы спектра, селективные микровольтметры) | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.3.2 | Применение токосъемников для регистрации наводок информативного сигнала, обрабатываемых ТС, на цепи электропитания и линии связи, выходящие за пределы служебных помещений | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.3.3 | Применение специальных средств регистрации радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав ТС ИС, или при наличии паразитной генерации в узлах ТС | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 1.3.4 | Применение специальных средств регистрации радиоизлучений, формируемых в результате ВЧ-облучения ТС ИС, в которых проводится обработка информативных сигналов – параметрических каналов утечки | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с высоким потенциалом | Файлы БД системы, файлы сканов документов в виде электромагнитного излучения |
| 2 | Угрозы использования штатных средств ИС с целью совершения НСД к информации | ||
| 2.1 | Угроза некорректного использования функционала программного обеспечения | Внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом | Системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, аппаратное обеспечение |
| 2.2 | Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением | Внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом | Системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр |
| 2.3 | Угроза несанкционированного изменения аутентификационной информации | Внешний нарушитель с низким потенциалом, Внутренний нарушитель с низким потенциалом | Системное программное обеспечение, объекты файловой системы, учётные данные пользователя, реестр |
| 2.4 | Угроза несанкционированного использования привилегированных функций BIOS | Внешний нарушитель с высоким потенциалом, Внутренний нарушитель с низким потенциалом | Аппаратное обеспечение, микропрограммное обеспечение BIOS/UEFI |
| 2.5 | Доступ в операционную среду (локальную ОС отдельного ТС ИС) с возможностью выполнения НСД вызовом штатных процедур или запуска специально разработанных программ | ||
| 3. | Угрозы нарушения доступности информации | ||
| 3.1 | Угроза длительного удержания вычислительных ресурсов пользователями | Внешний нарушитель с низким потенциалом, Внутренний нарушитель с низким потенциалом | Информационная система, сетевой узел, носитель информации, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик |
| 3.2 | Угроза нарушения работоспособности грид-системы при нетипичной сетевой нагрузке | Внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом | Грид-система, сетевой трафик |
| 3.3 | Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети | Внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом | Гипервизор |
| 3.4 | Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных | Внутренний нарушитель с низким потенциалом | Хранилище больших данных, метаданные |
| 3.5 | Угроза отказа в обслуживании системой хранения данных суперкомпьютера | Внутренний нарушитель с низким потенциалом | Система хранения данных суперкомпьютера |
| 3.6 | Угроза перегрузки грид-системы вычислительными заданиями | Внутренний нарушитель с низким потенциалом | Ресурсные центры грид-системы |
| 3.7 | Угроза повреждения системного реестра | Внешний нарушитель с низким потенциалом, Внутренний нарушитель с низким потенциалом | Объекты файловой системы, реестр |
| 3.8 | Угроза приведения системы в состояние «отказ в обслуживании» | Внешний нарушитель с низким потенциалом, Внутренний нарушитель с низким потенциалом | Информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик |
| 3.9 | Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов | Внешний нарушитель с низким потенциалом, Внутренний нарушитель с низким потенциалом | Информационная система, сетевой узел, системное программное обеспечение, сетевое программное обеспечение |
| 3.10 | Угроза утраты вычислительных ресурсов | Внешний нарушитель с низким потенциалом, Внутренний нарушитель с низким потенциалом | Информационная система, сетевой узел, носитель информации, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик |
| 3.11 | Угроза вывода из строя/выхода из строя отдельных технических средств* |
|
|
| 3.12 | Угроза вывода из строя незарезервированных технических/программных средств/каналов связи |
|
|
| 3.13 | Угроза отсутствия актуальных резервных копий информации* |
|
|
| 3.14 | Угроза потери информации в процессе ее обработки технически и(или) программными средствами и при передаче по каналам связи* |
|
|
| 3.15 | Угроза переполнения канала связи вследствие множества параллельных попыток авторизации* |
|
|
| 3.16 | Угроза нехватки ресурсов ИС для выполнения штатных задач в результате обработки множества параллельных задач, выполняемых одной учетной записью* |
|
|
| 3.17 | Угроза вывода из строя информационной системы при подаче на интерфейсы информационного обмена «неожидаемой» информации* |
|
|
| 4. | Угрозы нарушения целостности информации | ||
| 4.1 | Угроза нарушения целостности данных кеша | Внешний нарушитель с низким потенциалом, Внутренний нарушитель с низким потенциалом | Сетевое программное обеспечение |
| 4.2 | Угроза некорректного задания структуры данных транзакции | Внутренний нарушитель со средним потенциалом | Сетевой трафик, база данных, сетевое программное обеспечение |
| 4.3 | Угроза переполнения целочисленных переменных | Внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом | Системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение |
| 4.4 | Угроза подмены содержимого сетевых ресурсов | Внешний нарушитель с низким потенциалом | Прикладное программное обеспечение, сетевое программное обеспечение, сетевой трафик |
| 4.5 | Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных | Внутренний нарушитель с низким потенциалом | Информационная система, узлы хранилища больших данных |
| 4.6 | Угроза сбоя обработки специальным образом изменённых файлов | Внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом | Метаданные, объекты файловой системы, системное программное обеспечение |
| 4.7 | Угроза отсутствия контроля целостности обрабатываемой в ИС информации, применяемого программного обеспечения, в том числе средств защиты информации* |
|
|
| 4.8 | Угроза отсутствия целостных резервных копий информации, программного обеспечения, средств защиты информации в случае реализации угроз информационной безопасности* |
|
|
| 4.9 | Угроза отсутствия контроля за поступающими в информационную систему данными, в том числе незапрашиваемыми* |
|
|
| 4.10 | Отсутствие средств централизованного управления за поступающими в информационную систему данными, в том числе незапрашиваемыми |
|
|
| 4.11 | Отсутствие автоматизированных фильтров, осуществляющих обработку поступающей в ИС информации |
|
|
| 4.12 | Угроза доступа в ИС информации от неаутентифицированных серверов/пользователей |
|
|
| 4.13 | Угроза отсутствия контроля за данными, передаваемыми из информационной системы* |
|
|
| 4.14 | Отсутствие резервного копирования информации, передаваемой из ИС |
|
|
| 4.15 | Угроза передачи из ИС недопустимой информации |
|
|
| 4.16 | Угроза отсутствия контроля за данными, вводимыми в систему пользователями* |
|
|
| 4.17 | Угроза ввода/передачи недостоверных/ошибочных данных* |
|
|
| 4.18 | Угроза подмены используемых информационной системой файлов* |
|
|
| 4.19 | Угроза модификации/удаления файлов журналов системного, прикладного ПО, средств защиты* |
|
|
| 4.20 | Угроза установки/запуска модифицированного программного обеспечения и (или) модифицированных обновлений программного обеспечения |
|
|
| 4.21 | Угроза модификации/стирания/удаления данных системы регистрации событий информационной безопасности |
|
|
| 4.22 | Отсутствие регламента/графика проведения контроля целостности применяемых программных средств, в том числе средств защиты информации |
|
|
| 4.23 | Угроза отсутствия контроля целостности информации, обрабатываемой ИС, и ее структуры |
|
|
| 5. | Угрозы НДВ в СПО и ППО | ||
| 5.1 | Угроза перебора всех настроек и параметров приложения | Внешний нарушитель со средним потенциалом, Внутренний нарушитель со средним потенциалом | Системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, реестр |
| 5.2 | Угроза возникновения ошибок функционирования системного ПО, реализация недекларированных возможностей системного ПО | ||
| 5.3 | Угроза использования встроенных недекларированных возможностей для получения несанкционированного доступа к ИС |
|
|
| 6. | Угрозы, не являющиеся атаками | ||
| 6.1 | Угроза исчерпания вычислительных ресурсов хранилища больших данных | Внутренний нарушитель с низким потенциалом | Информационная система |
| 6.2 | Угроза неверного определения формата входных данных, поступающих в хранилище больших данных | Внутренний нарушитель с низким потенциалом | Хранилище больших данных, метаданные |
| 6.3 | Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания | Внутренний нарушитель с низким потенциалом | Рабочая станция, носитель информации, системное программное обеспечение, метаданные, объекты файловой системы, реестр |
| 6.4 | Угроза неконтролируемого копирования данных внутри хранилища больших данных | Внутренний нарушитель с низким потенциалом | Хранилище больших данных, метаданные, защищаемые данные |
| 6.5 | |||