Постановление Правительства Курганской области от 08.11.2016 № 357
Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных...
ПРАВИТЕЛЬСТВОКУРГАНСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от8 ноября 2016 г. N 357
Об определении угроз безопасностиперсональных данных,
актуальных при обработке персональных данных в
информационных системахперсональных данных,
эксплуатируемых при осуществлении соответствующих
видов деятельности, с учетом содержанияперсональных
данных, характера и способов их обработки
в Правительстве Курганской области и подведомственных
Правительству Курганской областигосударственных учреждениях
В соответствии с частью 5 статьи 19Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональныхданных" Правительство Курганской области ПОСТАНОВЛЯЕТ:
1. Утвердить Перечень угроз безопасностиперсональных данных, актуальных при обработке персональных данных винформационных системах персональных данных, эксплуатируемых при осуществлениисоответствующих видов деятельности, с учетом содержания персональных данных,характера и способов их обработки в Правительстве Курганской области иподведомственных Правительству Курганской области государственных учреждениях(далее - Перечень) согласно приложению к настоящему Постановлению.
2. Управлению информационных технологийПравительства Курганской области и подведомственным Правительству Курганскойобласти государственным учреждениям при разработке частных моделей угрозбезопасности персональных данных при их обработке в информационных системахперсональных данных адаптировать Перечень.
3. Контроль заисполнением настоящего Постановления возложить на заместителя ГубернатораКурганской области - руководителя Аппарата Правительства Курганской области.
Губернатор Курганской области А.Г.Кокорин
Приложение
к Постановлению
Правительства
Курганской области
от 8 ноября 2016 г. N 357
"Об определении угроз безопасности
персональных данных, актуальных
при обработке персональных данных
в информационных системах персональных
данных, эксплуатируемых при
осуществлении соответствующих видов
деятельности, с учетом содержания
персональных данных, характера и
способов их обработки в Правительстве
Курганской области и подведомственных
Правительству Курганской области
государственных учреждениях"
Перечень
угрозбезопасности персональных данных,
актуальныхпри обработке персональных данных в
информационныхсистемах персональных данных,
эксплуатируемыхпри осуществлении соответствующих видов
деятельности,с учетом содержания персональных данных,
характераи способов их обработки в
ПравительствеКурганской области и подведомственных
ПравительствуКурганской области
государственныхучреждениях
Актуальные угрозы безопасности
персональных данных, определяемыесогласно
требованиям Федеральной службы по техническому
и экспортному контролю Российской Федерации
1. Угроза внедрения кода или данных.
2. Угроза воздействия на программы с высокимипривилегиями.
3. Угроза восстановления аутентификационнойинформации.
4. Угроза выхода процесса за пределывиртуальной машины.
5. Угроза доступа к защищаемым файлам сиспользованием обходного пути.
6. Угроза доступа/перехвата/изменения HTTP cookies.
7. Угроза избыточного выделения оперативнойпамяти.
8. Угроза изменения системных и глобальныхпеременных.
9. Угроза искажения XML-схемы.
10. Угроза искажения вводимой и выводимой напериферийные устройства информации.
11. Угроза использования механизмов авторизациидля повышения привилегий.
12. Угроза использования слабостей протоколовсетевого/локального обмена данными.
13. Угроза нарушения изоляциипользовательских данных внутри виртуальной машины.
14. Угроза нарушенияпроцедуры аутентификации субъектов виртуального информационного взаимодействия.
15. Угроза нарушения технологии обработкиинформации путем несанкционированного внесения изменений в образы виртуальныхмашин.
16. Угроза нарушения целостности данных кеша.
17. Угроза неконтролируемого роста числазарезервированных вычислительных ресурсов.
18. Угроза некорректного задания структурыданных транзакции.
19. Угроза неправомерных действий в каналахсвязи.
20. Угроза несанкционированного доступа кактивному и (или) пассивному виртуальному и (или) физическому сетевомуоборудованию из физической и (или) виртуальной сети,
21. Угроза несанкционированного доступа к аутентификационной информации.
22. Угроза несанкционированного доступа квиртуальным каналам передачи.
23. Угроза несанкционированного доступа к гипервизоруиз виртуальной машины и (или) физической сети.
24. Угроза несанкционированного доступа кданным за пределами зарезервированного адресного пространства, в том числевыделенного под виртуальное аппаратное обеспечение.
25. Угроза несанкционированного доступа кзащищаемым виртуальным машинам из виртуальной и (или) физической сети.
26. Угроза несанкционированного доступа кзащищаемым виртуальным машинам со стороны других виртуальных машин.
27. Угроза несанкционированного доступа ксистеме хранения данных из виртуальной и (или) физической сети.
28. Угроза несанкционированного доступа кхранимой в виртуальном пространстве защищаемой информации.
29. Угроза несанкционированного управлениябуфером.
30. Угроза несанкционированного управлениясинхронизацией и состоянием.
31. Угроза несанкционированного управленияуказателями.
32. Угроза обнаружения открытых портов иидентификации привязанных к нему сетевых служб.
33. Угроза обнаружения хостов.
34. Угроза обхода некорректно настроенныхмеханизмов аутентификации.
35. Угроза опосредованного управления группойпрограмм через совместно используемые данные.
36. Угроза определения типов объектов защиты.
37. Угроза определения топологиивычислительной сети.
38. Угроза ошибки обновления гипервизора.
39. Угроза перехвата данных, передаваемых повычислительной сети.
40. Угроза повреждения системного реестра.
41. Угроза подмены действия пользователяпутем обмана.
42. Угроза подмены доверенного пользователя.
43. Угроза подмены субъекта сетевого доступа.
44. Угроза получения предварительнойинформации об объекте защиты.
45. Угроза приведения системы в состояние"отказ в обслуживании".
46. Угроза пропуска проверки целостностипрограммного обеспечения.
47. Угроза сбоя обработки специальным образомизмененных файлов.
48. Угроза усиления воздействия навычислительные ресурсы пользователей при помощи сторонних серверов.
49. Угроза утраты вычислительных ресурсов.
50. Угроза заражения компьютера при посещениинеблагонадежных сайтов.
51. Угроза неправомерного шифрованияинформации.
52. Угроза скрытного включениявычислительного устройства в состав бот-сети.
53. Угроза распространения "почтовыхчервей".
54. Угроза "спама" веб-сервера.
55. Угроза "фарминга".
56. Угроза "фишинга".
57. Угроза несанкционированной модификациизащищаемой информации.
Актуальные угрозы безопасности
персональных данных, определяемыесогласно
требованиям Федеральной службы безопасности
Российской Федерации
Таблица 1. Обобщенные возможности источниковатак
| N | Обобщенные возможности источников атак | Да/нет |
| 1. | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны | Да |
| 2. | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам (далее - АС), на которых реализованы средства криптографической защиты информации (далее - СКЗИ) и среда их функционирования | Да |
| 3. | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к АС, на которых реализованы СКЗИ и среда их функционирования | Нет |
| 4. | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ) | Нет |
| 5. | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения) | Нет |
| 6. | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ) | Нет |
Таблица 2. Актуальные угрозы
безопасности персональных данных
| N | Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Актуальность использования (применения) для построения и реализации атак | Обоснование отсутствия |
| 1.1. | Проведение атаки при нахождении в пределах контролируемой зоны | Актуально | |
| 1.2. | Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: - документацию на СКЗИ и компоненты среды функционирования СКЗИ (далее-СФ); - помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ | Не актуально | Проводятся работы по подбору персонала; доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с контрольно-пропускным режимом; документация на СКЗИ хранится у ответственного за СКЗИ в металлическом сейфе; помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; утвержден перечень лиц, имеющих право доступа в помещения |
| 1.3. | Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: - сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ | Не актуально | Проводятся работы по подбору персонала; доступ в контролируемую зону и помещения, где располагается ресурсы информационных систем персональных данных (далее - ИСПДн), обеспечивается в соответствии с контрольно-пропускным режимом; сведения о физических мерах защиты объектов, в которых размещены ИСПДн, доступны ограниченному кругу сотрудников; сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации |
| 1.4. | Использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | Не актуально | Проводятся работы по подбору персонала; помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации; осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам; осуществляется регистрация и учет действий пользователей; в ИСПДн используются сертифицированные средства защиты информации от несанкционированного доступа; используются сертифицированные средства антивирусной защиты |
| 2.1. | Физический доступ к СВТ, на которых реализованы СКЗИ и СФ | Не актуально | Проводятся работы по подбору персонала; доступ в контролируемую зону и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода |
| 2.2. | Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | Не актуально | Проводятся работы по подбору персонала; доступ в контролируемую зону и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации |
| 3.1. | Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО | Не актуально | Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности; проводятся работы по подбору персонала; доступ в контролируемую зону и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации; осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам; осуществляется регистрация и учет действий пользователей; на АРМ и серверах, на которых установлены СКЗИ: используются сертифицированные средства защиты информации от несанкционированного доступа; используются сертифицированные средства антивирусной защиты |
| 3.2. | Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | Не актуально | Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности |
| 3.3. | Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ | Не актуально | Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности |
| 4.1. | Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО | Не актуально | Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности; проводятся работы по подбору персонала; доступ в контролируемую зону и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода; представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации; осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам; осуществляется регистрация и учет действий пользователей; на АРМ и серверах, на которых установлены СКЗИ: используются сертифицированные средства защиты информации от несанкционированного доступа; используются сертифицированные средства антивирусной защиты |
| 4.2. | Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ | Не актуально | Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности |
| 4.3. | Возможность воздействовать на любые компоненты СКЗИ и СФ | Не актуально | Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности |