Постановление Администрации Томской области от 19.10.2016 № 334а

 

администрация ТОМСКОЙОБЛАСТИ

постановление

 

 

19.10.2016

№ 334а

 

 

Оботдельных мерах по обеспечению безопасности

персональныхданных при их обработке

 

(В редакции Постановлений Администрации Томской области

 от15.08.2019 г. № 303а)

 

 

В соответствии с частью 5статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «Оперсональных данных»

 

ПОСТАНОВЛЯЮ:

 

1. Утвердить Перечень угрозбезопасности персональных данных, актуальных при обработке персональных данныхв информационных системах персональных данных Администрации Томской области,эксплуатируемых при осуществлении соответствующих видов деятельности, с учетомсодержания персональных данных, характера и способов их обработки согласноприложению к настоящему постановлению.

2.Контроль за исполнением настоящего постановления возложить на заместителяГубернатора Томской области по вопросам безопасности.

(Пункт вредакции Постановлений Администрации Томской области от15.08.2019 г. № 303а)

 

 

 

 

И.о.Губернатора Томскойобласти                                                           А.М.Рожков

 

 

 

 

 

УТВЕРЖДЕН

постановлением Администрации

Томской области

от 19.10.2016 № 334а

 

 

 

Перечень

угрозбезопасности персональных данных, актуальных при обработке персональных данныхв информационных системах персональных данных Администрации Томской области, эксплуатируемыхпри осуществлении соответствующих видов деятельности, с учетом содержанияперсональных данных, характера и способов их обработки

 

1. Угрозы утечки информациипо техническим каналам:

1) угрозы утечки акустической (речевой)информации:

угрозы внедрения специальных звукозаписывающихэлектронных устройств в помещения;

2) угрозы утечки видовой информации:

угрозы утечки видовой информации с экрана дисплеев;

угрозы утечки видовой информации с техническихсредств;

угрозы обработки графической, видео- ибуквенно-цифровой информации;

угрозы внедрения специальных видеозаписывающихэлектронных устройств в помещения;

3) угрозы утечки информации по каналампобочных электромагнитных излучений и наводок (далее – ПЭМИН):

угрозы утечки по каналам ПЭМИН информативныхсигналов от технических средств и линий передачи информации;

угрозы наводок информативного сигнала на цепиэлектропитания и линии связи;

угрозы утечки радиоизлучения.

2. Угрозынесанкционированного доступа к информационным системам персональных данных,включающие в себя:

1) угрозы, реализуемые в ходе загрузкиоперационной системы:

угрозы выявления паролей или идентификатора;

угрозы модификации программного обеспечения базовойсистемы ввода – вывода (BIOS);

угрозы перехвата управления загрузкой с изменениемнеобходимой технологической информации;

2) угрозы, реализуемые после загрузкиоперационной системы:

угрозы несанкционированного копирования защищаемойинформации, обрабатываемой в информационных системах персональных данных (далее– ИСПДн);

угрозы разглашения (публикации) защищаемойинформации, обрабатываемой в ИСПДн;

угрозы разглашения (публикации) составапрограммно-аппаратных средств ИСПДн;

угрозы разглашения (публикации) состава средствзащиты персональных данных (далее – ПДн);

угрозы хищения аппаратных средств и носителейинформации;

угрозы несанкционированного отключения средствзащиты;

угрозы несанкционированной модификации защищаемойинформации, обрабатываемой в ИСПДн;

угрозы несанкционированного уничтожения защищаемойинформации, обрабатываемой в ИСПДн;

угрозы несанкционированной модификации конфигурацииприкладного и специального программного обеспечения ИСПДн;

угрозы несанкционированного уничтожения прикладногои специального программного обеспечения ИСПДн;

3) угрозы отказа в обслуживании:

угрозы нарушения функционирования и отказ средствобработки ИСПДн;

угрозы нарушения функционирования и отказ средствхранения информации;

угрозы нарушения функционирования и отказ средствзащиты информации;

4) угрозы внедрения вредоносных программ:

угрозы внедрения программной закладки;

угрозы внедрения (классического) программноговируса;

угрозы внедрения программной закладки по сети;

угрозы внедрения (классического) программноговируса по сети;

5) угрозы сетевой безопасности:

угрозы выявления паролей;

угрозы анализа сетевого трафика, передаваемого вовнешнюю сеть и принимаемого из внешней сети;

угрозы сканирования сети, направленные наопределение топологии сети, выявление типа операционной системы, сетевыхадресов, открытых портов и запущенных служб;

угрозы модификации конфигурации сети;

угрозы модификации сетевых адресов;

угрозы навязывания ложного маршрута путемнесанкционированного изменения маршрутно-адресных данных;

угрозы внедрения ложного объекта сети;

угрозы подмены доверенного объекта в сети;

угрозы скрытого отказа в обслуживании, вызванногопривлечением части ресурсов ИСПДн;

угрозы отказа в обслуживании, вызванного передачейзлоумышленником пакетов с нетрадиционными атрибутами;

угрозы явного отказа в обслуживании, вызванногоисчерпанием ресурсов ИСПДн;

угрозы явного отказа в обслуживании, вызванногонарушением логической связанности между техническими средствами ИСПДн;

угрозы удаленного запуска приложений путемраспространения файлов, содержащих несанкционированный исполняемый код;

угрозы удаленного запуска приложений путемиспользования возможностей удаленного управления системой;

6) угрозы безопасности среды виртуализации:

угрозы перехвата управления средой виртуализации;

угрозы нарушения изоляции пользовательских данныхвнутри виртуальной машины;

угрозы нарушения процедуры аутентификации субъектоввиртуального информационного взаимодействия;

угрозы нарушения технологии обработки информациипутем несанкционированного внесения изменений в образы виртуальных машин;

угрозы несанкционированного доступа к защищаемымвиртуальным машинам из виртуальной и (или) физической сети;

угрозы несанкционированного доступа к системехранения данных из виртуальной и (или) физической сети;

угрозы несанкционированного доступа к хранимой ввиртуальном пространстве защищаемой информации;

угрозы выхода процесса за пределы виртуальноймашины;

7) угрозы безопасности использования винформационной системе технологий беспроводного доступа:

угрозы несанкционированного доступа к ИСПДн побеспроводным каналам;

угрозы подключения к беспроводной сети в обходпроцедуры аутентификации;

угрозы подмены беспроводного клиента или точкидоступа.

3. Угрозы недекларированныхвозможностей программного обеспечения, включающие в себя:

1) угрозы нарушения целостности,конфиденциальности, доступности обрабатываемых персональных данных в ИСПДн сиспользованием недекларированных возможностей в операционной системе;

2) угрозы нарушения целостности,конфиденциальности, доступности обрабатываемых персональных данных в ИСПДн сиспользованием недекларированных возможностей в прикладном программномобеспечении.

4. Угрозы нарушителей и направлениевозможных атак при использовании средств криптографической защиты (далее –СКЗИ):

1) проведение атак на этапеэксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ и компоненты средыфункционирования СКЗИ;

помещения, в которых находится совокупностьпрограммных и технических элементов систем обработки данных, способныхфункционировать самостоятельно или в составе других систем, на которыхреализованы СКЗИ;

2) получение в рамкахпредоставленных полномочий, а также в результате наблюдений следующейинформации:

сведений о физических мерах защиты объектов, вкоторых размещены ресурсы информационной системы;

сведений о мерах по обеспечению контролируемой зоныобъектов, в которых размещены ресурсы информационной системы;

сведений о мерах по разграничению доступа впомещения, в которых находятся средства вычислительной техники(далее – СВТ), на которых реализованы СКЗИ;

3) использование штатных средствИСПДн, ограниченное мерами, реализованными в информационной системе, в которойиспользуется СКЗИ, и направленными на предотвращение и пресечениенесанкционированных действий;

4) физический доступ к СВТ, накоторых реализованы СКЗИ;

5) возможность воздействовать на аппаратныекомпоненты СКЗИ, ограниченная мерами, реализованными в информационной системе,в которой используется СКЗИ, и направленными на предотвращение и пресечениенесанкционированных действий;

6) создание способов, подготовка ипроведение атак с привлечением специалистов в области анализа сигналов,сопровождающих функционирование СКЗИ, и в области использования для реализацииатак недокументированных (недекларированных) возможностей прикладногопрограммного обеспечения;

7) проведение лабораторных исследованийСКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованнымив информационной системе, в которой используется СКЗИ, и направленными напредотвращение и пресечение несанкционированных действий;

8) проведение работ по созданиюспособов и средств атак в научно-исследовательских центрах, специализирующихсяв области разработки и анализа СКЗИ;

9) создание способов, подготовка ипроведение атак с привлечением специалистов в области использования дляреализации атак недокументированных (недекларированных) возможностей системногопрограммного обеспечения;

10) возможность располагатьсведениями, содержащимися в конструкторской документации на аппаратные ипрограммные компоненты СКЗИ;

11) возможностьвоздействовать на любые компоненты СКЗИ.