Постановление Губернатора Самарской области от 20.02.2015 № 32
Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в органах государственной власти Самарской области и подведомственных им организациях
ГУБЕРНАТОР
САМАРСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 20 февраля 2015 г. N32
ОБ ОПРЕДЕЛЕНИИ УГРОЗ БЕЗОПАСНОСТИПЕРСОНАЛЬНЫХ
ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХПЕРСОНАЛЬНЫХ
ДАННЫХ В ОРГАНАХ ГОСУДАРСТВЕННОЙВЛАСТИ САМАРСКОЙ
ОБЛАСТИ И ПОДВЕДОМСТВЕННЫХ ИМОРГАНИЗАЦИЯХ
В соответствии с частью 5 статьи 19 Федерального закона "О
персональных данных" с цельюобеспечения единого подхода к определению
угроз безопасности персональных данных, актуальных при обработке
персональных данных в информационных системах персональных данных в
органах государственной власти Самарской области иподведомственных им
организациях постановляю:
1. Определить угрозы безопасностиперсональных данных, актуальные
при обработке персональных данных в информационных системах
персональных данных в органахгосударственной власти Самарской области
и подведомственных им организацияхсогласно приложению к настоящему
Постановлению.
2. Рекомендовать органам местного самоуправления муниципальных
образований в Самарской области и подведомственнымим организациям
руководствоваться настоящим Постановлением при определении угроз
безопасности персональных данных, актуальных при обработке
персональных данных в используемых ими информационных системах
персональных данных.
3. Контроль за выполнением настоящегоПостановления возложить на
департамент информационных технологий и связи Самарской области
(Казарина).
4. Опубликовать настоящее Постановление в средствах массовой
информации.
5. Настоящее Постановление вступает в силу по истечении 10 дней
со дня официального опубликования.
Губернатор
Самарской области Н.И.МЕРКУШКИН
Приложение
к постановлению Губернатора
Самарской области
от 20 февраля 2015 г. N 32
УГРОЗЫ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫЕ ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ ВИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНАХГОСУДАРСТВЕННОЙ ВЛАСТИ
САМАРСКОЙ ОБЛАСТИ И ПОДВЕДОМСТВЕННЫХИМ ОРГАНИЗАЦИЯХ
1. Общие положения
1.1. Угрозы безопасности персональных данных, актуальные при
обработке персональных данных в информационных системах персональных
данных в органах государственной власти Самарской области и
подведомственных им организациях (далее - Актуальные угрозы
безопасности ИСПДнСО), разработаны в соответствии с частью 5 статьи
19 Федерального закона "Оперсональных данных".
1.2. Актуальные угрозы безопасности ИСПДн СО содержат перечень
актуальных угроз безопасностиперсональных данных при ихобработке в
информационных системахперсональных данных (далее - ИСПДн) в органах
государственной власти Самарской области и подведомственных им
организациях (далее - государственные органы).
1.3. При разработке Актуальных угроз безопасности ИСПДн СО
использованы нормативные правовыеакты, методические документы, модели
угроз безопасности персональных данных, указанные в разделе 5
Актуальных угроз безопасности ИСПДн СО.
1.4. Угрозы безопасности персональных данных, обрабатываемых в
ИСПДн , приведенные в Актуальных угрозах безопасности ИСПДн СО,
подлежат адаптации в ходе разработки частных моделей угроз
безопасности персональных данных.
При разработке частных моделей угроз безопасности персональных
данных проводится анализ структурно-функциональных характеристик
конкретной ИСПДн, применяемых в ней информационных технологий и
особенностей ее функционирования. По результатам анализа делается
вывод об отнесении ИСПДн к одному из видов ИСПДн,приведенных в пункте
1.6 Актуальных угроз безопасности ИСПДн СО.
В частной модели угроз безопасности персональных данных
указываются:
описание ИСПДн иее структурно-функциональных характеристик;
описание угроз безопасности персональных данных с учетом
совокупности предположений о возможностях, которые могут
использоваться при создании способов, подготовке и проведении атак,
возможных уязвимостей информационной системы, способов реализации
угроз безопасности информации и последствий от нарушения свойств
безопасности информации.
Типовая форма частной модели угроз безопасности информации для
государственных органов разрабатывается департаментом информационных
технологий и связи Самарской области с учетом требований приказа
Федеральной службы по техническому и экспортному контролю от
11.02.2013 N 17 "Об утверждении Требований о защитеинформации, не
составляющей государственную тайну, содержащейся в государственных
информационных системах"и приказа Федеральной службы безопасности
Российской Федерации от 10.07.2014 N 378 "Об утвержденииСостава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения
установленных ПравительствомРоссийской Федерации требований к защите
персональныхданных для каждого из уровней защищенности" (далее -
Приказ ФСБРоссии).
1.5. Актуальные угрозы безопасности персональных данных,
обрабатываемых вИСПДн, содержащиеся в Актуальных угрозах безопасности
ИСПДн СО, уточняются и дополняются по мере выявления новых источников
угроз, развития способов и средств реализации угроз безопасности
персональных данных в ИСПДн. Указанные изменения согласовываются с
Федеральнойслужбой по техническому и экспортному контролю (далее -
ФСТЭК России) иФедеральной службой безопасности Российской Федерации
(далее - ФСБ России) вустановленном порядке.
1.6. В государственных органах создаются и эксплуатируются
информационные системы, в которых могут обрабатываться персональные
данные. В зависимости от предназначения такие информационные системы
подразделяются на:
ИСПДнобеспечения типовой деятельности - информационные системы,
предназначенные для автоматизации обеспечивающей деятельности
государственных органов в рамках исполнения ими типовых полномочий,
предусмотренных нормативными правовыми актами, за исключением
специфических полномочий, автоматизация или информационная поддержка
которых предусмотрена информационными системами специальной
деятельности. К ИСПДн обеспечениятиповой деятельности можно отнести
локальные ИСПДн: ИСПДн управления персоналом, ИСПДн управления
финансами, ИСПДн документооборота, ИСПДнинформационного обеспечения
деятельности и другие.
ИСПДнобеспечения специальной деятельности - государственные
информационные системы Самарской области, предназначенные для
автоматизации либо информационной поддержки предоставления
государственных услуг и исполнения государственных функций,
предусмотренных в нормативных правовых актах Самарской области в
качестве полномочий конкретного государственного органа, а также
исполняемых им функций. К ИСПДн обеспеченияспециальной деятельности
относятся: ИСПДн государственной информационной системы Самарской
области "Системамежведомственного электронного взаимодействия", ИСПДн
государственной информационной системы Самарской области "Система
автоматизированного межведомственного взаимодействия", ИСПДн единой
региональной автоматизированной информационной системы поддержки
деятельности многофункциональных центров предоставления
государственных имуниципальных услуг в Самарской области, ИСПДн по
направлениям деятельности государственных органов, исполняемым
функциям, предоставлению услуг (например, государственные
информационные системы Самарской области в сфере здравоохранения,
социальной сфере, образования, ЖКХи других).
2. ИСПДнобеспечения типовой деятельности
ИСПДнобеспечения типовой деятельности органов государственной
власти характеризуются тем, что в качестве объектов информатизации
выступают автономные автоматизированные рабочие места или рабочие
места локальных вычислительных сетей, имеющих или не имеющих
подключения к сетям общего пользования и (или) сетям международного
информационного обмена.
Ввод персональных данных осуществляетсякак с бумажных носителей,
так и с электронных носителей информации. Персональные данные
субъектов могут выводиться из ИСПДн с целью передачи персональных
данных третьим лицам в предусмотренных Федеральным законом "О
персональных данных" случаях как в электронном, так и в бумажном виде.
Информационный обмен по сетям связи общего пользования и (или)
сетям международного информационного обмена осуществляется с
использованием сертифицированных средств криптографической защиты
информации (далее - СКЗИ).
Контролируемой зоной ИСПДнявляются здания и отдельные помещения.
В пределах контролируемой зонынаходятся рабочие места пользователей,
серверы системы, сетевое и телекоммуникационное оборудование ИСПДн.
Вне контролируемой зоны находятся линии передачи данных и
телекоммуникационное оборудование, используемое для информационного
обмена по сетям связи общегопользования и (или) сетям международного
информационного обмена.
2.1. ИСПДнуправления персоналом предназначены для персонального
кадрового учета, управлениякадровым резервом, проведения аттестации,
повышения квалификации и для других целей, связанных с управлением
персоналом.
В ИСПДн управления персоналом обрабатывается обязательный
перечень информации, имеющейхарактер персональных данных сотрудников
государственного органа, граждан, подавших сведения для участия в
конкурсе на замещение вакантныхдолжностей государственной гражданской
службы и о включении в кадровыйрезерв, а также граждан, претендующих
на замещение иных должностей в государственном органе: фамилия, имя,
отчество; дата и место рождения; адрес; паспортные данные; сведения
для заполнения личного дела; личные карточки работников формы N Т-2;
сведения из трудовой книжки; дополнительный перечень информации,
имеющей характер персональных данных сотрудников.
2.2. ИСПДн управления финансами предназначены для обработки
персональных данных, необходимыхдля бухгалтерского и управленческого
финансового учета, предоставленияинформации в пенсионные и налоговые
органы, систему обязательногомедицинского страхования.
В ИСПДн управления финансами обрабатываются фамилия, имя,
отчество, дата и место рождения, паспортные данные, адрес, номер
телефона, идентификационный номер налогоплательщика (далее - ИНН),
страховой номер индивидуального лицевого счета (СНИЛС), табельный
номер, должность, номер приказа идата приема на работу (увольнения),
номер лицевого счета для перечисления денежного содержания и иных
выплат работника ; фамилия, имя,отчество, паспортные данные, адрес,
должность, номер телефона (либо иной вид связи), ИНН, платежные
реквизиты граждан, являющихсястороной гражданско-правовых договоров.
2.3. ИСПДн документооборота предназначены для автоматизации
делопроизводства, служебной переписки, архивной деятельности, учета
корреспонденции, обращенийграждан, обеспечения доступа к электронным
документам.
В ИСПДндокументооборота обрабатываются фамилия,имя, отчество,
должность, контактные данные (адрес, электронный адрес, номер
телефона), информация в документах, имеющая характер персональных
данных.
2.4. ИСПДн информационного обеспечения предназначены для
автоматизации деятельности органовгосударственной власти.
В ИСПДнинформационного обеспечениядеятельности обрабатываются
персональные данные, содержащиеся в адресных и телефонных
справочниках , иные базы данных, содержащие персональные данные.
3. ИСПДнобеспечения специальной деятельности
ИСПДнобеспечения специальной деятельности государственных
органов характеризуются тем, что в качестве объектов информатизации
выступают распределенные информационные системы и локальные
информационные системы, подключенные к сетям общего пользования и
(или) сетям международногоинформационного обмена.
Ввод персональных данных осуществляетсякак с бумажных носителей,
так и с электронных носителей информации. Персональные данные
субъектов персональных данных обрабатываются с целью получения
государственных и муниципальныхуслуг и могут выводиться из ИСПДн как
в электронном, так и в бумажномвиде.
Информационный обмен по сетям связи общего пользования и (или)
сетям международного информационного обмена осуществляется с
использованием сертифицированныхСКЗИ.
Контролируемой зоной ИСПДнявляются здания и отдельные помещения.
В пределах контролируемой зонынаходятся рабочие места пользователей,
серверы системы, сетевое и телекоммуникационное оборудование ИСПДн.
Вне контролируемой зоны находятся линии передачи данных и
телекоммуникационное оборудование, используемое для информационного
обмена по сетям связи общегопользования и (или) сетям международного
информационного обмена.
3.1.ИСПДн государственной информационной системы Самарской области
"Система межведомственногоэлектронного взаимодействия" в соответствии
с постановлениемПравительства Самарской области от28.04.2012 N 221
"О государственнойинформационной системе Самарскойобласти "Система
межведомственного электронного взаимодействия" предназначена для
технологического обеспечения на территории Самарской области:
предоставления государственных и муниципальных услуг в электронной
форме, исполнения государственных и муниципальных функций в
электронной форме,межведомственного информационного взаимодействия в
электронной форме.
С использованием ИСПДн обрабатываются (передаются) персональные
данныезаявителей, необходимые для предоставления государственных и
муниципальных услуг и получаемые в рамках межведомственного
информационного взаимодействия, втом числе из базовых государственных
информационных ресурсов, в соответствии с действующим
законодательством.
3.2. ИСПДн государственной информационной системы Самарской
области "Системаавтоматизированного межведомственного взаимодействия"
в соответствии с постановлениемПравительства Самарской области от
15.10.2013 N 546 "О государственной информационнойсистеме Самарской
области "Системаавтоматизированного межведомственного взаимодействия"
предназначена для обеспечения предоставления государственных и
муниципальных услуг в электронной форме, межведомственного
информационноговзаимодействия в электронной форме, информационного
взаимодействия в электронной форме с многофункциональными центрами
предоставления государственных и муниципальных услуг, созданными в
Самарской области.
С использованием ИСПДн обрабатываются (передаются) персональные
данныезаявителей, необходимые для предоставления государственных и
муниципальных услуг и получаемые в рамках межведомственного
информационного взаимодействия, втом числе из базовых государственных
информационных ресурсов, в соответствии с действующим
законодательством.
3.3. ИСПДн единойрегиональной автоматизированной информационной
системы поддержки деятельности многофункциональных центров
предоставления государственных имуниципальных услуг Самарской области
предназначена для обеспечения деятельности многофункциональных центров
на территории Самарской области в соответствии с постановлением
Правительства Самарскойобласти от 29.09.2011 N 464 "Об утверждении
Положения о единой региональной автоматизированной информационной
системе поддержки деятельности многофункциональных центров
предоставления государственных и муниципальных услуг Самарской
области".
В ИСПДн обрабатываются персональные данные, предоставляемые
заявителями при запросе, получаемые из базовых государственных
информационных ресурсов, от органов и учреждений, используемые для
подготовки ответов на запрос заявителя в соответствии с
административными регламентами предоставления государственных и
муниципальных услуг, утвержденными нормативными правовыми актами
соответствующего органа.
3.4. ИСПДн понаправлениям деятельности государственных органов,
исполняемым функциям предназначены для обеспечения деятельности
государственных органов иисполнения функций, не отраженных в пунктах
3.1 - 3.3 Актуальных угрозбезопасности ИСПДн СО.
В ИСПДн обрабатываются персональные данные, необходимые для
выполнения деятельностигосударственных органов, исполнения функций и
предоставления услуг, определенныхв нормативных правовых актах.
4. Актуальные угрозыбезопасности
информационных системперсональных данных
Угрозы безопасности персональных данныхрассмотрены в приказах и
методических документахФСТЭК России, Приказе ФСБ России.
Учитывая особенности обработки персональных данных в
государственных органах, а также категорию и объем обрабатываемых в
ИСПДн персональных данных, основными характеристиками безопасности
являются конфиденциальность,целостность и доступность.
Конфиденциальность - обязательное для соблюдения оператором или
иным получившим доступ к персональным данным лицом требование не
допускать их распространение безсогласия субъекта персональных данных
или наличия иного законногооснования.
Целостность - состояние защищенностиинформации, характеризуемое
способностью автоматизированной системы обеспечивать сохранность и
неизменность информации при попытках несанкционированных воздействий
на нее в процессе обработки илихранения.
Доступность - состояние информации, прикотором субъекты, имеющие
права доступа, могут реализоватьих беспрепятственно.
Под актуальными угрозами безопасности персональных данных
понимается совокупность условий и факторов, создающих актуальную
опасность несанкционированного, в том числе случайного, доступа к
персональным данным при их обработке в информационной системе,
результатом которого могут стать уничтожение, изменение, блокирование,
копирование, предоставление, распространение персональных данных, а
также иные неправомерные действия.
Угрозы безопасности персональных данных,актуальные при обработке
персональных данных в ИСПДн, подразделяются на угрозы первого,
второго, третьего типа.
Для определения актуальных угроз безопасности из общего перечня
угроз безопасности выбираются только те угрозы, которые являются
актуальными для ИСПДн в соответствии с Методикой определения
актуальных угроз безопасностиперсональных данных при ихобработке в
информационных системахперсональных данных, утвержденной заместителем
директора ФСТЭК России 14.02.2008.
Основная часть угроз безопасности персональным данным в ИСПДн
государственных органов относится к 3-му типу, уровень защищенности
ИСПДн государственных органов не выше 3-го уровня защищенности (за
исключением информационных систем, обрабатывающих специальные
категории персональных данныхрегионального масштаба).
Основной целью применения в ИСПДн государственных органов СКЗИ
является защита персональныхданных при информационном обмене по сетям
связи общего пользования и (или)сетям международного информационного
обмена.
Основными видами угроз безопасности персональным данным в ИСПДн
являются:
угрозы, связанные с преднамеренными или непреднамеренными
действиями лиц, имеющих доступ к информационным ресурсам ИСПДн,
включая пользователей ИСПДн;
угрозы, связанные с преднамеренными или непреднамеренными
действиями лиц, не имеющих доступа к ИСПДн, реализующие угрозы из
внешних сетей связи общего пользования и (или) сетей международного
информационного обмена;
угрозы, возникновение которых напрямуюзависит от свойств техники
и программного обеспечения,используемого в ИСПДн;
угрозы, возникающие в результате внедренияаппаратных закладок и
вредоносных программ;
угрозы, направленные на нарушение нормальной работы технических
средств и средствсвязи, используемых в ИСПДн;
угрозы, связанные с недостаточной квалификацией обслуживающего
ИСПДн персонала.
При определении актуальных угрозбезопасности персональных данных
используются следующие положения:
при создании государственных информационных систем Самарской
области государственные органыруководствуются Положением о создании,
развитии (модернизации) иэксплуатации государственных информационных
систем Самарской области, утвержденным постановлением Правительства
Самарской области от 10.09.2012 N 425 "О создании, развитии
(модернизации) и эксплуатации государственных информационных систем
Самарской области";
единый подход к созданию, развитию(модернизации) и эксплуатации
государственных информационныхсистем Самарской области, основанный на
согласовании технологий обработки информации с органом исполнительной
власти Самарской области, уполномоченным в сфере информационных
технологий;
реализация единого порядка согласования технических заданий и
технических проектов на созданиеинформационных систем и входящих в их
состав систем защиты информации с использованием некриптографических
средств защиты информации (далее -СЗИ) и (или) с использованием СКЗИ.
4.1. Актуальные угрозы безопасности ИСПДн обеспечения типовой
деятельности.
4.1.1. ИСПДн обеспечения типовой деятельности отличаются
следующими особенностями:
использованием стандартных(унифицированных) технических средств
обработки информации;
использованием типового программногообеспечения;
наличием незначительного количества автоматизированных рабочих
мест, участвующих в обработкеперсональных данных;
дублированием информации, содержащей персональные данные, на
бумажных носителяхи внешних накопителях информации;
незначительными негативными последствиями для субъектов
персональных данных при реализацииугроз безопасности ИСПДн;
эксплуатацией ИСПДн (как правило) сотрудниками государственных
органов без привлечения напостоянной основе сторонних организаций;
жесткой регламентацией процедуры взаимодействия со сторонними
организациями(банки, пенсионные, страховые и налоговые органы, органы
статистики).
4.1.2. Актуальными угрозами безопасности ИСПДн обеспечения
типовой деятельности в государственных органах, учитывая положения,
изложенные в настоящем разделе, признаются:
угрозы непреднамеренного или преднамеренного вывода из строя
технических средств и СЗИ;
угрозы несанкционированного отключенияСЗИ;
угрозы, связанные с недостаточной квалификацией обслуживающего
ИСПДн персонала;
угрозы надежности технических средств и коммуникационного
оборудования;
угрозы легитимности программногообеспечения;
угрозы достаточности и качества применяемых СЗИ и средств
антивирусной защиты;
угрозы создания способов, подготовки и проведения атак без
привлечения специалистов в областиразработки и анализа СКЗИ;
угрозы создания способов, подготовки и проведения атак на
различных этапахжизненного цикла СКЗИ;
угрозы проведения атак, находясь за пределами контролируемой
зоны;
угрозы получения из находящихся в свободном доступе источников,
включая сети общего пользования исети международного информационного
обмена, информации об информационной системе, в которой используется
СКЗИ;
угрозы применения находящихся в свободном доступе или
используемых за пределами контролируемой зоны аппаратных средств
(далее - АС) и программного обеспечения (далее - ПО), включая
аппаратные и программныекомпоненты СКЗИ и среду функционирования СКЗИ
(далее - СФ), специально разработанных АС и ПО;
угрозы проведения на этапе эксплуатации атаки из
информационно-телекоммуникационных сетей, доступ к которым не
ограничен определеннымкругом лиц, если информационные системы, в
которых используются СКЗИ, имеют выход в эти сети;
угрозы использования на этапе эксплуатации находящихся за
пределами контролируемой зоны АС и ПО из состава средств
информационной системы, применяемых на местах эксплуатации СКЗИ
штатных средств;
угрозы проведения атаки при нахождении впределах контролируемой
зоны.
4.2. Актуальные угрозы безопасности ИСПДн обеспечения специальной
деятельности.
4.2.1. ИСПДн обеспечения специальной деятельности отличаются
следующими особенностями:
использованием широкой номенклатуры (зачастую уникальных)
технических средств получения,отображения и обработки информации;
использованиемспециального (адаптированного под конкретную
задачу) программного обеспечения;
наличием значительного количества автоматизированных рабочих
мест, участвующих в обработкеперсональных данных;
построением ИСПДнна базераспределенной по территории области
вычислительной сети со сложнойархитектурой;
наличием выходов в сети общего пользования и (или) сети
международногоинформационного обмена, локальныевычислительные сети
сторонних организаций;
использованием разнообразной телекоммуникационной среды,
принадлежащей различным операторамсвязи;
широким применением СЗИ, сертифицированных СКЗИ при
информационном обменепо сетям связи общего пользования и (или) сетям
международного информационногообмена;
использованием аутсорсингапри создании и эксплуатации ИСПДн и ее
элементов;
сложностью дублирования больших массивов информации, содержащей
персональные данные, на бумажных носителях и внешних накопителях
информации;
значительными негативными последствиями при реализации угроз
безопасности ИСПДн;
риском недостаточной квалификациипользователей и обслуживающего
ИСПДн и СЗИ персонала;
проблемами взаимодействия различных ИСПДн, вызванных
несовершенством действующего законодательства и ведомственных
инструкций.
4.2.2. Актуальными угрозами безопасности ИСПДн обеспечения
специальной деятельности в государственных органах, учитывая
положения, изложенные в настоящемразделе, признаются:
угрозы непреднамеренного или преднамеренного вывода из строя
технических средств и СЗИ;
угрозы несанкционированного отключенияСЗИ;
угрозы, связанные с недостаточной квалификацией обслуживающего
ИСПДн персонала;
угрозы надежности технических средств и коммуникационного
оборудования;
угрозы легитимности программногообеспечения;
угрозы достаточности и качества применяемых СЗИ и средств
антивирусной защиты;
угрозы совершения атак на мониторвиртуальных машин из физической
сети;
угрозы совершения атаки с виртуальной машины на другую
виртуальную машину;
угрозы совершения атаки на систему управления виртуальной
инфраструктурой;
угрозы создания способов, подготовки и проведения атак без
привлечения специалистов в областиразработки и анализа СКЗИ;
угрозы создания способов, подготовки и проведения атак на
различных этапахжизненного цикла СКЗИ;
угрозы проведения атак, находясь за пределами контролируемой
зоны;
угрозы получения из находящихся в свободном доступе источников,
включая сеть Интернет, информацииоб информационной системе, в которой
используется СКЗИ;
угрозы применения находящихся в свободном доступе или
используемых за пределами контролируемой зоны АС и ПО, включая
аппаратные и программные компоненты СКЗИ и СФ, специально
разработанных АС и ПО;
угрозы проведения на этапе эксплуатации атаки из
информационно-телекоммуникационных сетей, доступ к которым не
ограничен определеннымкругом лиц, если информационные системы, в
которых используются СКЗИ, имеют выход в эти сети;
угрозы использования на этапе эксплуатации находящихся за
пределами контролируемой зоны АС и ПО из состава средств
информационной системы, применяемых на местах эксплуатации СКЗИ
штатных средств;
угрозы проведения атаки при нахождении в пределах контролируемой
зоны.
5. Нормативные правовые акты, методическиедокументы, модели
угроз безопасности персональных данных,использованные
при разработке Актуальных угрозбезопасности ИСПДн СО
Федеральный закон "О персональныхданных";
постановление Правительства РоссийскойФедерации от 01.11.2012 N
1119 "Об утверждении требований к защите персональных данных при их
обработке в информационныхсистемах персональных данных";
приказ ФСТЭК России от 11.02.2013 N 17"Об утверждении Требований
о защите информаций, не составляющей государственную тайну,
содержащейся в государственных информационных системах";
приказ ФСТЭК России от 18.02.2013 N 21"Об утверждении Состава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных";
приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения
установленных ПравительствомРоссийской Федерации требований к защите
персональных данных для каждого изуровней защищенности";
Методика определения актуальных угроз безопасности персональных
данных при их обработке винформационных системах персональных данных,
утвержденная заместителем директора ФСТЭК России 14.02.2008;
Базовая модель угроз безопасности персональных данных при их
обработке в информационныхсистемах персональных данных, утвержденная
заместителем директора ФСТЭКРоссии 15.02.2008;
постановлениеПравительства Самарской области от 10.09.2012 N 425
"О создании, развитии (модернизации) и эксплуатации государственных
информационных систем Самарскойобласти";
Методические рекомендации по составлению Частной модели угроз
безопасности персональных данных при их обработке в информационных
системах персональных данных учреждений здравоохранения, социальной
сферы, трудаи занятости (утверждены Министерствомздравоохранения и
социального развития РоссийскойФедерации 23.12.2009);
Модель угроз и нарушителя безопасности персональных данных,
обрабатываемых в специальных информационных системах персональных
данных отрасли, согласованная сФСТЭК России, ФСБ России и одобренная
Решением секции N 1 Научно-технического совета Минкомсвязи России
"Научно-техническое истратегическое развитие отрасли" от 21.04.2010 N
2;
Модель угроз и нарушителя безопасности персональных данных,
обрабатываемых в типовых информационных системах персональных данных
отрасли, согласованная с ФСТЭК России, ФСБ России и одобренная
Решением секции N 1 Научно-технического совета Минкомсвязи России
"Научно-техническое истратегическое развитие отрасли" от 21.04.2010 N
2;
Частная модель угроз безопасностиконфиденциальной информации при
ее обработке в государственной информационной системе Самарской
области "Система межведомственного электронного взаимодействия",
утвержденная генеральнымдиректором ЗАО НПО "Эшелон" 05.12.2013 и
начальником управления по информационной безопасности и
удостоверяющего центра ГЖУ СО"РЦУП" 09.12.2013;
Частная модель угроз на информационную систему "Единая
региональная автоматизированная информационная система поддержки
деятельности многофункциональных центров предоставления
государственных и муниципальныхуслуг Самарской области", утвержденная
директором ГКУ СО "РЦУП" 09.12.2013 и согласованная генеральным
директором ЗАО "Винтегра Секьюрити" 09.12.2013;
Частная модель угроз на информационную систему "Система
автоматизированного межведомственного взаимодействия Самарской
области", утвержденная директором ГКУ СО "РЦУП" 09.12.2013 и
согласованная генеральным директором ЗАО "Винтегра Секьюрити"
09.12.2013.