ПРАВИТЕЛЬСТВОКАЛУЖСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
26 апреля 2018 г. | № 258 |
Об определении угроз безопасности персональныхданных, актуальных при обработке персональных данных в информационных системахперсональных данных органов исполнительной власти Калужской области
В соответствиис частью 5 статьи 19 Федерального закона «О персональных данных» с цельюобеспечения единого подхода к определению угроз безопасности персональныхданных, актуальных при обработке персональных данных винформационных системах персональных данных органовисполнительной власти Калужской области, Правительство Калужской области ПОСТАНОВЛЯЕТ:
1. Определитьугрозы безопасности персональных данных, актуальные при обработке персональныхданных в информационных системах персональных данных органов исполнительнойвласти Калужской области, согласно приложению к настоящему постановлению.
2. Рекомендовать государственнымучреждениям, подведомственным органам исполнительной власти Калужской области, руководствоваться угрозами безопасностиперсональных данных, актуальными при обработке персональных данных винформационных системах персональных данных органов исполнительной властиКалужской области, указанными в приложении к настоящему постановлению.
3. Настоящеепостановление вступает в силу со дня его официального опубликования.
Губернатор Калужской области | А.Д.Артамонов |
Приложение
к постановлению Правительства
Калужской области
от 26.04.2018 г. № 258
УГРОЗЫ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
АКТУАЛЬНЫЕ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В
ИНФОРМАЦИОННЫХ СИСТЕМАХПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНов ИСПОЛНИТЕЛЬНОЙВЛАСТИ Калужской области
1. Общие положения
1.1. Угрозы безопасности персональных данных, актуальные при обработкеперсональных данных в информационных системах персональных данных (далее –(ИСПДн) органов исполнительной власти Калужскойобласти, определены для ИСПДн органов исполнительнойвласти Калужской области, эксплуатируемых при осуществлении соответствующихвидов деятельности, в соответствии с частью 5 статьи 19 Федерального закона«О персональных данных».
1.2. Приопределении угроз безопасности персональных данных, актуальных при обработкеперсональных данных в ИСПДн органов исполнительнойвласти Калужской области, используются термины и понятия, установленныеФедеральным законом «О персональных данных», постановлением ПравительстваРоссийской Федерации от 01.11.2012 № 1119 «Об утверждениитребований к защите персональных данных при их обработке в информационныхсистемах персональных данных» (далее – Требования к защите персональныхданных), методикой определения актуальных угроз безопасностиперсональных данных при их обработке в информационных системахперсональных данных, утвержденной заместителем директора Федеральнойслужбы по техническому и экспортному контролю России (далее – ФСТЭКРоссии) 14 февраля 2008 года, методическими рекомендациями по разработкенормативных правовых актов, определяющих угрозы безопасности персональныхданных, актуальные при обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществлении соответствующих видовдеятельности, утвержденными Федеральной службой безопасности России 31марта 2015 года № 149/7/2/6-432.
1.3. Под актуальными угрозамибезопасности персональных данных при их обработке в ИСПДнорганов исполнительной власти Калужской области понимается совокупность условийи факторов, создающих актуальную опасность несанкционированного, в том числеслучайного, доступа к персональным данным при их обработке в информационнойсистеме, результатом которого могут стать уничтожение,изменение, блокирование, копирование, предоставление, распространениеперсональных данных, а также иные неправомерные действия с персональнымиданными.
1.4. Угрозы безопасности персональныхданных, актуальные при обработке персональных данных в ИСПДнорганов исполнительной власти Калужской области, подлежат адаптации приопределении операторами ИСПДн угроз безопасностиперсональных данных, актуальных для конкретных ИСПДн органовисполнительной власти Калужской области.
2. Информационные системы персональных данныхорганов исполнительной власти Калужской области
2.1. ИСПДнорганов исполнительной власти Калужской области создаются в целях реализациифункций и осуществления полномочий, возложенных на органы исполнительной властиКалужской области в соответствии с законодательством, и эксплуатируются при осуществленииследующих видов деятельности:
ведение кадрового учёта;
ведение бухгалтерского учета;
работа с обращениями граждан;
оказание государственных услуг иисполнение государственных функций по направлениям деятельности органовисполнительной власти Калужской области.
2.2. В ИСПДн органов исполнительнойвласти Калужской области обрабатываются специальные, биометрические,общедоступные и иные категории персональных данных государственных гражданскихслужащих и работников органов исполнительной власти Калужской области, а также иныхсубъектов персональных данных.
2.3. В соответствии с Требованиями кзащите персональных данных для ИСПДн органов исполнительной власти Калужскойобласти актуальны угрозы 3-го типа, не связанные с наличием недокументированных(недекларированных) возможностей в системном и прикладном программномобеспечении, используемом в информационной системе.
2.4. В соответствии с Требованиями кзащите персональных данных для ИСПДн органовисполнительной власти Калужской области определен уровень защищенностиперсональных данных для каждой ИСПДн. Органамиисполнительной власти Калужской области эксплуатируются ИСПДнот четвертого до второго уровня защищенности персональных данныхвключительно.
2.5. ИСПДн органовисполнительной власти Калужской области, эксплуатируемые при осуществлениисоответствующих видов деятельности, имеют сходные структуры, однотипны.
2.6. Информационный обмен по сетямсвязи общего пользования и (или) сетям международного информационного обменаосуществляется с использованием сертифицированных средств криптографическойзащиты информации (далее – СКЗИ).
2.7. Контролируемой зоной ИСПДн органовисполнительной власти Калужской области являются административные здания илиотдельные помещения, в которых размещаются органы исполнительной властиКалужской области и ведется обработка и хранение персональных данных (далее –контролируемая зона).
2.8. В пределах контролируемой зонынаходятся рабочие места пользователей ИСПДн органов исполнительной властиКалужской области, серверы, сетевое и телекоммуникационное оборудование. Внеконтролируемой зоны находятся линии передачи данных и телекоммуникационноеоборудование, используемое для информационного обмена по сетям связиобщего пользования и (или) сетям международного информационного обмена.
3. Угрозыбезопасности персональных данных, актуальные при обработке персональных данныхв ИСПДн органов исполнительной власти Калужской области
3.1. Угрозы безопасности персональныхданных, актуальные при обработке персональных данных в ИСПДнорганов исполнительной власти Калужской области, определенные в соответствии с методикойопределения актуальных угроз безопасности персональных данных при их обработкев информационных системах персональных данных, утвержденной ФСТЭК России 14февраля 2008 года:
угрозы утечки видовой информации;
угрозы, реализуемые после загрузкиоперационной системы и направленные на выполнение несанкционированного доступас применением стандартных функций (уничтожение, копирование, перемещение,форматирование носителей информации и т.п.) операционной системы или какой-либоприкладной программы (например, системы управления базами данных), с применением специально созданных длявыполнения несанкционированного доступа программ;
угрозы внедрения вредоносных программ;
кража носителей информации;
утрата ключей и атрибутов доступа;
непреднамеренная модификация (уничтожение)информации сотрудниками;
угроза «Анализ сетевого трафика» сперехватом передаваемой в ИСПДн информации за пределами контролируемой зоны;
угрозы сканирования, направленные навыявление типа или типов используемых операционных систем, сетевых адресоврабочих станций ИСПДн, топологии сети, открытых портов и служб, открытыхсоединений и другого;
угрозы выявления паролей по сети;
угрозы удаленного запуска приложений;
угрозы внедрения по сети вредоносныхпрограмм;
угрозы несанкционированного доступа кобразам виртуальных машин;
угрозы внедрения вредоносных программ ввиртуальной машине.
Угрозы безопасности информации (далее –УБИ) из состава банка данных угроз безопасности информации (www.bdu.fstec.ru),актуальные в информационных системах персональных данных органов исполнительнойвласти Калужской области:
УБИ.003: Угроза анализа криптографическихалгоритмов и их реализации;
УБИ.006: Угроза внедрения кода или данных;
УБИ.030: Угроза использования информацииидентификации/аутентификации, заданной по умолчанию;
УБИ.071: Угроза несанкционированного восстановленияудалённой защищаемой информации;
УБИ.076: Угроза несанкционированного доступа кгипервизору из виртуальной машины и (или) физической сети;
УБИ.078: Угроза несанкционированного доступа кзащищаемым виртуальным машинам из виртуальной и (или) физической сети;
УБИ.098: Угроза обнаружения открытых портов иидентификации привязанных к нему сетевых служб;
УБИ.127: Угроза подмены действияпользователя путём обмана;
УБИ.170: Угроза неправомерного шифрованияинформации;
УБИ.171: Угроза скрытного включениявычислительного устройства в состав бот-сети;
УБИ.172: Угроза распространения «почтовыхчервей»;
УБИ.186: Угроза внедрения вредоносногокода через рекламу, сервисы и контент.
3.2. Совокупность предположений овозможностях, которые могут использоваться при создании способов, подготовке ипроведении целенаправленных действий с использованием аппаратных и (или)программных средств с целью нарушения безопасностизащищаемых СКЗИ персональных данных или создания условий для нарушениябезопасности.
3.2.1. Реализация угроз безопасностиперсональных данных, обрабатываемых в ИСПДн , определяется возможностями источниковатак.
В ИСПДн органов исполнительной власти Калужской области актуальнойявляется возможность самостоятельно осуществлять создание способов атак,подготовку и проведение атак только за пределами контролируемой зоны.
3.2.2. При выборе класса СКЗИ для защиты персональныхданных, обрабатываемых в ИСПДн органов исполнительной власти Калужской области,в качестве актуальных рассматриваются следующие возможности создания способовподготовки и проведения атак:
а) создание способов, подготовка и проведение атак безпривлечения специалистов в области разработки и анализа СКЗИ;
б) создание способов, подготовка и проведение атак наразличных этапах жизненного цикла СКЗИ;
в) проведение атаки при нахождении вне контролируемой зоны;
г) проведение на этапах разработки (модернизации),производства, хранения, транспортировки СКЗИ и на этапе ввода в эксплуатациюСКЗИ (пусконаладочные работы) следующих атак:
внесение несанкционированных изменений в СКЗИ и (или) вкомпоненты аппаратных и программных средств, совместно с которыми штатнофункционируют СКЗИ, и в совокупности представляющие среду функционирования СКЗИ(далее – СФ), которые способны повлиять на выполнение предъявляемых к СКЗИтребований, в том числе с использованием вредоносных программ,
внесение несанкционированных изменений в документацию наСКЗИ и компоненты СФ;
д) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные,
ключевую, аутентифицирующую и парольную информацию СКЗИ,
программные компоненты СКЗИ,
аппаратные компоненты СКЗИ,
программные компоненты СФ, включая программное обеспечениеBIOS,
аппаратные компоненты СФ,
данные, передаваемые по каналам связи,
иные объекты, которые установлены при формированиисовокупности предположений о возможностях, которые могут использоваться присоздании способов, подготовке и проведении атак с учетом применяемых винформационной системе информационных технологий, аппаратных средств ипрограммного обеспечения (далее – ПО);
е) получение из находящихся в свободном доступе источников(включая информационно-телекоммуникационные сети, доступ к которым не ограниченопределенным кругом лиц, в том числе информационно-телекоммуникационную сеть«Интернет») информации об информационной системе, в которой используется СКЗИ.При этом может быть получена следующая информация:
общие сведения об информационнойсистеме, в которой используется СКЗИ (назначение, состав, оператор, объекты, вкоторых размещены ресурсы информационной системы);
сведения об информационных технологиях, базах данных,аппаратных средствах, ПО, используемых в ИСПДн совместно с СКЗИ, за исключениемсведений, содержащихся только в конструкторской документации на информационныетехнологии, базы данных, аппаратные средства, ПО,используемые в информационной системе совместно с СКЗИ;
содержание конструкторской документации на СКЗИ;
содержание находящейся в свободном доступе документации нааппаратные и программные компоненты СКЗИ и СФ;
общие сведения о защищаемой информации, используемой впроцессе эксплуатации СКЗИ;
сведения о каналах связи, по которым передаютсязащищаемые СКЗИ персональные данные (далее – канал связи);
все возможные данные, передаваемые в открытом виде по каналамсвязи, не защищенным от несанкционированного доступа к информации организационнымии техническими мерами;
сведения обо всех проявляющихся в каналах связи, незащищенных от несанкционированного доступа к информации организационными итехническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
сведения обо всех проявляющихся в каналах связи, незащищенных от несанкционированного доступа к информации организационными итехническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
сведения, получаемые в результате анализа любых сигналовот аппаратных компонентов СКЗИ и СФ;
ж) применение:
находящихся в свободном доступе или используемых запределами контролируемой зоны аппаратных средств и ПО, включая аппаратные и программныекомпоненты СКЗИ и СФ;
специально разработанных аппаратных средств и ПО;
з) использование на этапе эксплуатации в качестве средыпереноса от субъекта к объекту (от объекта к субъекту) атаки действий,осуществляемых при подготовке и(или) проведении атаки:
каналов связи, не защищенных от несанкционированногодоступа к информации организационными и техническими мерами;
каналов распространения сигналов, сопровождающихфункционирование СКЗИ и СФ;
и) проведение на этапе эксплуатации атаки изинформационно-телекоммуникационных сетей, доступ к которым не ограниченопределенным кругом лиц, если информационные системы, в которых используютсяСКЗИ, имеют выход в эти сети;
к) использование на этапе эксплуатации находящихся запределами контролируемой зоны аппаратных средств и ПО из состава средств ИСПДн,применяемых на местах эксплуатации СКЗИ.
4. Меры по обеспечениюбезопасности информации при эксплуатации ИСПДн органов исполнительной властиКалужской области
Угрозы безопасности персональных данных, актуальные приобработке персональных данных в ИСПДн органовисполнительной власти Калужской области, определены с учетом следующих мер обеспечениябезопасности информации, которые в обязательном порядке принимаются приобработке персональных данных в органах исполнительной власти Калужскойобласти:
4.1. Доступ к каждой ИСПДносуществляется согласно утвержденному оператором ИСПДнв соответствии с законодательством перечню лиц, доступ которых к персональнымданным, обрабатываемым в информационной системе, необходим для выполнения имислужебных (трудовых) обязанностей.
4.2. В административных зданиях, вкоторых размещаются органы исполнительной власти Калужской области, установленпропускной режим. Проход в здания и перемещение (вынос за пределы здания)компьютеров, коммуникационного оборудования и оргтехники производится по пропускам.
4.3. В органах исполнительной властиКалужской области обеспечивается защита ключевой информации СКЗИ от несанкционированногодоступа потенциального нарушителя, при эксплуатации СКЗИ соблюдаются требованияэксплуатационно-технической документации на СКЗИ и требования действующихнормативных правовых документов в области реализации и эксплуатации СКЗИ.
4.4. Для обеспечения безопасностиперсональных данных при их обработке в ИСПДн органов исполнительной властиКалужской области используются СКЗИ, прошедшие в установленном порядкепроцедуру оценки соответствия требованиям законодательства Российской Федерациив области обеспечения безопасности информации.
Операторами ИСПДнпринимаются дополнительные меры по обеспечению безопасности персональныхданных в зависимости от угроз безопасности персональных данных, признанныхактуальными для конкретных информационных систем.