Постановление Коллегии Администрации Кемеровской области от 23.12.2016 № 527

Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в исполнительных органах государственной власти Кемеровской области и в подведомственных им организациях

РОССИЙСКАЯ ФЕДЕРАЦИЯ

 

РОССИЙСКАЯФЕДЕРАЦИЯ

КЕМЕРОВСКАЯ ОБЛАСТЬ

 

 

КОЛЛЕГИЯ АДМИНИСТРАЦИИ КЕМЕРОВСКОЙ ОБЛАСТИ

 

ПОСТАНОВЛЕНИЕ

 

 

от 23 декабря 2016 г. № 527

г.Кемерово

 

Обопределении угроз безопасности персональных данных,актуальных при обработке персональных данных в информационных системахперсональных данных в исполнительных органах государственной власти Кемеровскойобласти и в подведомственных им организациях

 

 

(В редакции Постановления ПравительстваКемеровской области

 от27.06.2019 г. № 407)

 

В соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональныхданных», с целью обеспечения единого подхода к определению угроз безопасностиперсональных данных, актуальных при обработке персональных данных винформационных системах персональных данных в исполнительных органах государственнойвласти Кемеровской области и в подведомственных им организациях, Коллегия АдминистрацииКемеровской области

 

постановляет :

 

1.  Определить у грозы безопасностиперсональных данных, актуальные при обработке персональных данных винформационных системах персональных данных в исполнительных органах государственнойвласти Кемеровской области и в подведомственных им организациях, согласноприложению к настоящему постановлению.

2.Настоящее постановление подлежит опубликованию на сайте «Электронный бюллетеньКоллегии Администрации Кемеровской области».

3. Контроль за исполнением настоящего постановления возложить назаместителя Губернатора Кемеровской области (по вопросам безопасности иправопорядка) Догадова В.А. (В редакции Постановления Правительства Кемеровскойобласти от27.06.2019 г. № 407)

Губернатор

Кемеровской области          А.М. Тулеев

 

 

 

 

Приложение

к постановлению Коллегии Администрации

Кемеровской области

от 23 декабря 2016 г. № 527

 

 

У грозы безопасностиперсональных данных, актуальные при обработке персональных данных винформационных системах персональных данных в исполнительных органах государственнойвласти Кемеровской области и в подведомственных им организациях

 

 

(В редакции Постановления ПравительстваКемеровской области

 от27.06.2019 г. № 407)

 

Общие положения

 

1.  Угрозы безопасностиперсональных данных, актуальные при обработке персональных данных винформационных системах персональных данных в исполнительных органах государственнойвласти Кемеровской области и в подведомственных им организациях (далее - актуальныеугрозы безопасности персональных данных в ИСПДн), разработаны в соответствии счастью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональныхданных», постановлением Правительства Российской Федерации от 01.11.2012 № 1119«Об утверждении требований к защите персональных данных при их обработке винформационных системах персональных данных», приказом ФСТЭК России от11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющейгосударственную тайну, содержащейся в государственных информационных системах»,приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержанияорганизационных и технических мер по обеспечению безопасности персональныхданных при их обработке в информационных системах персональных данных»,приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержанияорганизационных и технических мер по обеспечению безопасности персональныхданных при их обработке в информационных системах персональных данных сиспользованием средств криптографической защиты информации, необходимых длявыполнения установленных Правительством Российской Федерации требований кзащите персональных данных для каждого из уровней защищенности», Методикойопределения актуальных угроз безопасности персональных данных при их обработкев информационных системах персональных данных, утвержденной заместителемдиректора ФСТЭК России 14.02.2008, Методическими рекомендациями по разработкенормативных правовых актов, определяющих угрозы безопасности персональныхданных, актуальные при обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществлении соответствующих видовдеятельности, утверждёнными руководством 8-го Центра ФСБ России от 31.03.2015 №149/7/2/6-432,  Базовой моделью угроз безопасности персональных данных при ихобработке в информационных системах персональных данных, утвержденнойзаместителем директора ФСТЭК России 15.02.2008, и Банком данных угрозбезопасности информации, размещенным на официальном сайте ФСТЭК России(http://bdu.fstec.ru).

2.       Актуальные угрозыбезопасности ИСПДн содержат перечень актуальных угроз безопасности персональныхданных при их обработке в информационных системах персональных данных (далее -ИСПДн) в исполнительныхорганах государственной власти Кемеровской области и в подведомственных иморганизациях (далее- органы власти) .

3.       Угрозы безопасностиперсональных данных, обрабатываемых в ИСПДн, приведенные в актуальных угрозахбезопасности ИСПДн, подлежат адаптации в ходе разработки органами властичастных моделей угроз безопасности персональных данных для каждойинформационной системы.

4.       При разработке частныхмоделей угроз безопасности персональных данных проводится анализструктурно-функциональных характеристик информационной системы, эксплуатируемойпри осуществлении органом власти функций и полномочий, а также применяемых вней информационных технологий и особенностей ее функционирования.

В частной модели угрозбезопасности персональных данных указываются:

описание ИСПДн и ееструктурно-функциональных характеристик;

описание угрозбезопасности персональных данных с учетом совокупности предположений овозможностях, которые могут использоваться при создании способов, подготовке ипроведении атак;

описание возможных уязвимостейинформационной системы, способов реализации угроз безопасности информации ипоследствий от нарушения свойств безопасности информации.

Частная модель угрозбезопасности персональных данных для государственных органов разрабатывается сучетом требований приказа ФСТЭК России от 18.02.2013 № 21 «Об утвержденииСостава и содержания организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационных системахперсональных данных» и  приказа   ФСБ  России от 10.07.2014  № 378 «Обутверждении Состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных с использованием средств криптографической защитыинформации, необходимых для выполнения установленных Правительством РоссийскойФедерации требований к защите персональных данных для каждого из уровнейзащищенности».

5.       Угрозы безопасностиперсональных данных, обрабатываемых в ИСПДн, содержащиеся в актуальных угрозахбезопасности ИСПДн, уточняются и дополняются по мере выявления новых источниковугроз, развития способов и средств реализации угроз безопасности персональныхданных в ИСПДн. Указанные изменения согласовываются с ФСТЭК России и ФСБ Россиив установленном порядке.

В органах власти функционируютинформационные системы, обрабатывающие специальные категории персональныхданных менее чем 100000 субъектов персональных данных, не являющихсясотрудниками оператора,    общедоступные   персональные данные менее чем 100000субъектов персональных данных, не являющихся сотрудниками оператора, и персональные  данные менее чем 100000 субъектов персональных данных, являющихсясотрудниками оператора.

Информационные системыперсональных данных в органах власти имеют сходную структуру, однотипны,характеризуются тем, что в качестве объектов информатизации выступаютраспределенные информационные системы, имеющие подключение к единому центруобработки данных, а также подключение к сетям общего пользования и (или) сетяммеждународного информационного обмена.

Ввод персональных данныхв ИСПДн и вывод данных из ИСПДн осуществляются с использованием бумажных иэлектронных носителей информации. В качестве электронных носителей информациииспользуются учтенные съемные носители информации и компакт-диски.

Персональные данныесубъектов персональных данных обрабатываются с целью получения государственныхуслуг, а также в целях:

ведения финансово-экономической деятельности всоответствии с требованиями законодательства Российской Федерации;

проведения конкурсного отбора на государственнуюгражданскую службу Кемеровской области в Администрацию Кемеровской области;

проведения конкурсного отбора на государственнуюгражданскую службу Кемеровской области в органы государственной власти Кемеровскойобласти;

ведения кадровогорезерва Кемеровской области;

ведения кадровогорезерва на государственной гражданской службе в Администрации Кемеровскойобласти;

формирования и ведения резерва управленческих кадровКемеровской области;

формирования и ведения Реестра государственныхгражданских служащих Кемеровской области в Администрации Кемеровской области;

ведения Реестра государственных гражданских служащихКемеровской области;

обеспечения деятельности депутатов ГосударственнойДумы Федерального Собрания Российской Федерации и членов Совета ФедерацииФедерального Собрания Российской Федерации;

награждения наградамиКемеровской области, Коллегии Администрации Кемеровской области, выплатсоциального характера в натуральной и денежной форме;

предоставления сведений в Федеральный общественно-государственный фонд по защите прав вкладчиков и акционеров для выплатыкомпенсаций;

рассмотрения запросов, обращений граждан, объединенийграждан, в том числе юридических лиц;

предоставления сведений в комиссию по вопросампомилования на территории Кемеровской области в отношении осужденных,обратившихся с ходатайством о помиловании в управление по взаимодействию суголовно-исполнительной системой Администрации Кемеровской области, а такжев  органы местного самоуправления области и территориальные органывнутренних дел о лицах, освободившихся из мест лишения свободы,   сцелью организации работы по вопросам их социальной реабилитации послеотбывания  наказания.

 Информационный обмен посетям связи общего пользования и (или) сетям международного информационногообмена осуществляется с использованием сертифицированных средствкриптографической защиты информации (далее - СКЗИ).

Контролируемой зонойИСПДн являются административные здания и отдельные помещения. В пределах контролируемойзоны находятся рабочие места пользователей, серверы системы, сетевое ителекоммуникационное оборудование ИСПДн. Вне контролируемой зоны находятсялинии передачи данных и телекоммуникационное оборудование, используемое дляинформационного обмена по сетям связи общего пользования и (или) сетяммеждународного информационного обмена.

В административныхзданиях осуществляется пропускной и внутриобъектовый режим, неконтролируемоепребывание посторонних лиц и неконтролируемое перемещение (вынос за пределыздания) компьютеров и оргтехники запрещено. Помещения оборудованы запирающимисядверями. В коридорах, вестибюлях и холлах ведется видеонаблюдение.  

 

Актуальные угрозыбезопасности персональных данных в информационных системах персональных данных

 

Учитывая особенностиобработки персональных данных в органах власти, а также категорию и объемобрабатываемых в ИСПДн персональных данных, основными характеристикамибезопасности являются конфиденциальность, целостность и доступность.

Конфиденциальность –обязательное для соблюдения оператором или иным получившим доступ кперсональным данным лицом требование не допускать их распространения безсогласия субъекта персональных данных или наличия иного законного основания.

Целостность – состояниезащищенности информации, характеризуемое способностью автоматизированнойсистемы обеспечивать сохранность и неизменность информации при попыткахнесанкционированных воздействий на нее в процессе обработки или хранения.

Доступность – состояниеинформации, при котором субъекты, имеющие права доступа, могут реализовать ихбеспрепятственно.

Под актуальными угрозамибезопасности персональных данных понимается совокупность условий и факторов,создающих актуальную опасность несанкционированного, в том числе случайного,доступа к персональным данным при их обработке в информационной системе,результатом которого могут стать уничтожение, изменение, блокирование,копирование, предоставление, распространение персональных данных, а также иныенеправомерные действия.

Основной цельюприменения в ИСПДн государственных органов Кемеровской области СКЗИ являетсязащита персональных данных, в том числе при информационном обмене по сетямсвязи общего пользования и (или) сетям международного информационного обмена.

Объектами защитыявляются:

персональные данные;

СКЗИ;

среда функционированияСКЗИ (далее-СФ СКЗИ);

информация, относящаясяк криптографической защите персональных данных, включая ключевую, парольную иаутентифицирующую информацию СКЗИ;

документы, дела,журналы, картотеки, издания, технические документы, видео-, кино- ифотоматериалы, рабочие материалы и т.п., в которых отражена защищаемаяинформация, относящаяся к информационным системам персональных данных и их криптографическойзащите, включая документацию на СКЗИ и на технические и программные компонентыСФ;

носители защищаемойинформации, используемые в информационной системе в процессе криптографическойзащиты персональных данных, носители ключевой, парольной и аутентифицирующейинформации СКЗИ и порядок доступа к ним;

используемыеинформационной системой каналы (линии) связи, включая кабельные системы;

помещения, в которыхнаходятся ресурсы информационной системы, имеющие отношение к криптографическойзащите персональных данных.

Основными актуальнымиугрозами безопасности персональных данных в ИСПДн органов власти Кемеровскойобласти согласно требованиям ФСТЭК России являются:

угрозы облачных технологий;(Дополнен - Постановление Правительства Кемеровской области от27.06.2019 г. № 407)

угрозы хищения, утраты средствхранения, обработки и (или) ввода/вывода/передачи информации; (Дополнен -Постановление Правительства Кемеровской области от27.06.2019 г. № 407)

угрозы, реализуемые в сети«Интернет» («фишинг», «фарминг», «спам» веб-сервера, «кража» учётной записи идр.); (Дополнен - Постановление Правительства Кемеровской области от27.06.2019 г. № 407)

угрозы, реализуемые на этаперазработки информационных систем; (Дополнен - Постановление ПравительстваКемеровской области от27.06.2019 г. № 407)

угрозы несанкционированного доступа(далее-НСД) на рабочих местах, связанные с действиями нарушителей, имеющихдоступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственнов ИСПДн;

угрозы, реализуемые в ходе загрузки операционнойсистемы и направленные на перехват паролей или идентификаторов, модификациюбазовой системы ввода/вывода (BIOS), перехват управления загрузкой;

угрозы, реализуемые после загрузкиоперационной системы и направленные на выполнение НСД с применением стандартныхфункций (уничтожение, копирование, перемещение, форматирование носителейинформации и т.п.) операционной системы или какой-либо прикладной программы(например, системы управления базами данных) с применением специально созданныхдля выполнения НСД программ (программ просмотра и модификации реестра, поискатекстов в текстовых файлах и т.п.);

угрозы локального внедрения вредоносныхпрограмм;

угрозы выявления паролей;

угрозы типа «Отказ в обслуживании»;

угрозы удаленного запуска приложений;

угрозы внедрения по сети вредоносныхпрограмм;

угрозы «Анализ сетевого трафика» сперехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетейинформации;

угрозы сканирования сети, направленные навыявление типа или типов используемых операционных систем, сетевых адресоврабочих станций ИСПДн, топологии сети, открытых портов и служб, открытыхсоединений и другое;

угрозы внедрения ложного объекта сети какв ИСПДн, так и во внешних сетях;

угрозы подмены доверенного объекта сети;

угрозы навязывания ложного маршрута сетипутем несанкционированного изменения маршрутно-адресных данных как внутри сети,так и во внешних сетях;

угрозы непреднамеренногоили преднамеренного вывода из строя технических средств и средств защитыинформации;

угрозынесанкционированного отключения средств защиты информации;

угрозы непреднамеренноймодификации (уничтожения) информации пользователями;

угрозы недостаточностинадежности технических средств и коммуникационного оборудования;

угрозы снижениядостаточности и качества применяемых средств защиты информации;

угрозы самостоятельногосоздания способов атак, подготовки и проведения атак за пределамиконтролируемой зоны;

угрозы проведения атакпри нахождении в пределах контролируемой зоны;

угрозы утечки видовой информации;

угрозы нарушения изоляции пользовательских данныхвнутри виртуальной машины;

угрозы нарушения процедуры аутентификации субъектоввиртуального информационного взаимодействия;

угрозы нарушения технологии обработки информации путёмнесанкционированного внесения изменений в образы виртуальных машин;

угрозы несанкционированного доступа к виртуальнымканалам передачи;

угрозы несанкционированного доступа к защищаемымвиртуальным машинам из виртуальной и (или) физической сети;

угрозы несанкционированного доступа к защищаемымвиртуальным машинам со стороны других виртуальных машин;

угрозы несанкционированного доступа к системе храненияданных из виртуальной и (или) физической сети;

угрозы перехвата управления средой виртуализации.

Основными актуальнымиугрозами безопасности персональных данных в ИСПДн органов власти Кемеровскойобласти согласно требованиям ФСБ России являются:

угрозы непредумышленногоискажения или удаления программных компонентов ИСПДн;

угрозы внедрения ииспользования неучтенных программ;

угрозы игнорированияорганизационных ограничений (установленных правил) при работе с ресурсамиИСПДн, включая средства защиты информации;

угрозы нарушения правилхранения информации ограниченного доступа, используемой при эксплуатациисредств защиты информации (в частности: ключевой, парольной и аутентифицирующейинформации);

угрозы предоставленияпосторонним лицам возможности доступа к средствам защиты информации, а также ктехническим и программным средствам, способным повлиять на выполнениепредъявляемых к средствам защиты информации требованиям;

угрозы несообщения офактах утраты, компрометации ключевой, парольной и аутентифицирующейинформации, а также любой другой информации ограниченного доступа;

угрозы внесениянегативных функциональных возможностей в технические и программные компонентыСКЗИ и СФ СКЗИ, в том числе с использованием вредоносных программ (компьютерныевирусы и т.д.);

угрозы реализации целенаправленных действий сиспользованием аппаратных и (или) программных средств с целью нарушениябезопасности защищаемых СКЗИ персональных данных или создания условий для этого(далее - атака) при нахождении в пределах контролируемой зоны;

угрозы проведения атак на этапе эксплуатации СКЗИ наследующие объекты:

1)  документацию на СКЗИ и компоненты СФ СКЗИ;

2)  помещения, в которых находится совокупностьпрограммных и технических элементов систем обработки данных, способныхфункционировать самостоятельно или в составе других систем (далее-СВТ), накоторых реализованы СКЗИ и СФ СКЗИ;

угрозы получения в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

1)  сведений о физических мерах защиты объектов, в которыхразмещены ресурсы информационной системы;

2)  сведений о мерах по обеспечению контролируемой зоныобъектов,  в которых размещены ресурсы информационной системы;

3)  сведений о мерах по разграничению доступа в помещения,в которых находятся СВТ, на которых реализованы СКЗИ и СФ СКЗИ;

угрозы использования штатных средств ИСПДн, неограниченного мерами, реализованными в информационной системе, в которойиспользуются СКЗИ, и направленными на предотвращение и пресечениенесанкционированных действий;

угрозы физического доступа к СВТ, на которыхреализованы  СКЗИ и СФ СКЗИ;

угрозы возможностей воздействия на аппаратныекомпоненты СКЗИ и СФ СКЗИ, не ограниченных мерами, реализованными винформационной системе, в которой используется СКЗИ, и направленными напредотвращение и пресечение несанкционированных действий;

угрозы создания способов, подготовки и проведения атакс привлечением специалистов в области анализа сигналов, сопровождающихфункционирование СКЗИ и СФ СКЗИ, и в области использования для реализации атакнедокументированных (недекларированных) возможностей прикладного программногообеспечения;

угрозы проведения лабораторных исследований СКЗИ,используемых вне контролируемой зоны, не ограниченного мерами, реализованными винформационной системе, в которой используется СКЗИ, и направленными напредотвращение и пресечение несанкционированных действий;

угрозы проведения работ по созданию способов и средстватак в научно-исследовательских центрах, специализирующихся в областиразработки и анализа СКЗИ и СФ СКЗИ, в том числе с использованием исходныхтекстов входящего в СФ СКЗИ прикладного программного обеспечения,непосредственно использующего вызовы программных функций СКЗИ;

угрозы создания способов, подготовки и проведения атакс привлечением специалистов в области использования для реализации атакнедокументированных (недекларированных) возможностей системного программногообеспечения;

угрозы возможностей располагать сведениями,содержащимися в конструкторской документации на аппаратные и программныекомпоненты СФ СКЗИ;

угрозы возможностей воздействовать на любые компонентыСКЗИ и СФ СКЗИ.