Проект Приказа Федерального казначейства "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Федеральным казначейством функций, определенных Положением о Федеральном казначействе, утвержденным постановлением Правительства Российской Федерации от 01 декабря 2004 г. № 703" (подготовлен Федеральным казначейством 22.08.2023)
Досье на проект
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", пунктом 1 Положения о Федеральном казначействе, утвержденного постановлением Правительства Российской Федерации от 01 декабря 2004 г. N 703, приказываю:
определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Федеральным казначейством функций, определенных Положением о Федеральном казначействе, утвержденным постановлением Правительства Российской Федерации от 01 декабря 2004 г. N 703, согласно приложению к настоящему приказу.
Руководитель | Р.Е. Артюхин |
Приложение
к приказу Федерального казначейства
от ___________ N ____
Угрозы
безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Федеральным казначейством функций, определенных Положением о Федеральном казначействе, утвержденным постановлением Правительства Российской Федерации от 01 декабря 2004 г. N 703
1. Угрозами безопасности персональных данных, актуальными при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Федеральным казначейством функций, определенных Положением о Федеральном казначействе, утвержденным постановлением Правительства Российской Федерации от 01 декабря 2004 г. N 703 (далее - информационные системы), являются:
угрозы безопасности персональных данных, защищаемых без использования средств криптографической защиты информации (далее - СКЗИ);
угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого*(1).
2. Угрозы безопасности персональных данных, защищаемых без использования СКЗИ, включают:
1) угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
2) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в информационных системах, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационных систем;
3) угрозы воздействия вредоносного кода, вредоносной программы;
4) угрозы использования социального и психологического воздействия на лиц, обладающих полномочиями в информационных системах;
5) угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных;
6) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;
7) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в системном и прикладном программном обеспечении информационных систем;
8) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, в том числе с использованием протоколов межсетевого взаимодействия;
9) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;
10) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;
11) угрозы, связанные с возможностью использования новых информационных технологий.
3. Угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого включают:
1) угрозы проведения атаки при нахождении лица вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона);
2) угрозы проведения на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) атаки путем внесения несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
3) угрозы проведения атак на этапе эксплуатации СКЗИ на:
ключевую, аутентифицирующую и парольную информацию СКЗИ;
программные компоненты СКЗИ;
аппаратные компоненты СКЗИ;
программные компоненты СФ, включая базовую систему ввода (вывода);
аппаратные компоненты СФ;
данные, передаваемые по каналам связи;
4) угрозы получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационных системах, в которых используются СКЗИ:
общих сведений об информационных системах, в которых используются СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационных систем);
сведений об информационных технологиях, базах данных, аппаратных средствах (далее - АС), программном обеспечении (далее - ПО), используемых в информационных системах совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторских документах на информационные технологии, базы данных, АС, ПО, используемые в информационных системах совместно с СКЗИ;
содержания, находящихся в свободном доступе, документов на аппаратные и программные компоненты СКЗИ и СФ;
общих сведений о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
сведений о каналах связи, по которым передаются защищаемые СКЗИ персональные данные;
сведений, получаемых в результате анализа сигналов от аппаратных компонентов СКЗИ и СФ;
5) угрозы применения специально разработанных АС и ПО;
6) угрозы использования на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;
7) угрозы проведения атаки лицом при нахождении в пределах контролируемой зоны;
8) угрозы несанкционированного доступа на этапе эксплуатации СКЗИ на объекты:
документы на СКЗИ и компоненты СФ;
помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и СФ;
9) угрозы получения в рамках предоставленных полномочий, а также в результате наблюдений:
сведений о физических мерах защиты объектов, в которых размещены ресурсы информационных систем;
сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационных систем;
сведений о мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники, на которых реализованы СКЗИ и СФ;
10) угрозы физического доступа к средствам вычислительной техники, на которых реализованы СКЗИ.
-------------------------------------------
*(1) Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ России от 10 июля 2014 г. N 378 (зарегистрирован Минюстом России 18 августа 2014 г., регистрационный N 33620).
Обзор документа
Федеральное казначейство утвердит перечень угроз безопасности персональных данных, актуальных при их обработке в информсистемах, эксплуатируемых при выполнении ведомством своих функций. В их числе - угрозы воздействия вредоносного кода и вредоносной программы, использования социального и психологического воздействия на лиц, обладающих полномочиями в информсистемах, несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных.