Приложение. Распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 19.05.2022 N 11-128/РВ "О внесении изменений в распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 25.06.2018 N 10-65/РВ "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Министерства государственного управления, информационных технологий и связи Московской области"

Приложение

к распоряжению Министерства

государственного управления, информационных

технологий и связи Московской области

от 19.05.2022 N 11-128/РВ

"Приложение

к распоряжению Министерства

государственного управления, информационных

технологий и связи Московской области

от 25.06.2018 N 10-65/РВ

Перечень
угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Министерства государственного управления, информационных технологий и связи Московской области

1. В соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14.02.2008, и классификацией Банка данных угроз безопасности информации ФСТЭК России угрозами безопасности персональных данных, а также с учетом содержания персональных данных, характера и способов их обработки в информационных системах персональных данных Мингосуправления Московской области, актуальными при обработке персональных данных в информационных системах персональных данных Мингосуправления Московской области являются:

УБИ 003 Угроза использования слабостей криптографических алгоритмов и уязвимостей в программном обеспечении их реализации;

УБИ 006 Угроза внедрения кода или данных;

УБИ 011 Угроза деавторизации санкционированного клиента беспроводной сети;

УБИ 015 Угроза доступа к защищаемым файлам с использованием обходного пути;

УБИ 016 Угроза доступа к локальным файлам сервера при помощи URL;

УБИ 017 Угроза доступа/перехвата/изменения HTTP cookies;

УБИ 018 Угроза загрузки нештатной операционной системы;

УБИ 019 Угроза заражения DNS-кеша;

УБИ 023 Угроза изменения компонентов системы;

УБИ 027 Угроза искажения вводимой и выводимой на периферийные устройства информации;

УБИ 028 Угроза использования альтернативных путей доступа к ресурсам;

УБИ 030 Угроза использования информации идентификации / аутентификации, заданной по умолчанию;

УБИ 031 Угроза использования механизмов авторизации для повышения привилегий;

УБИ 034 Угроза использования слабостей протоколов сетевого/локального обмена данными;

УБИ 046 Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия;

УБИ 049 Угроза нарушения целостности данных кеша;

УБИ 051 Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания;

УБИ 062 Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера;

УБИ 067 Угроза неправомерного ознакомления с защищаемой информацией;

УБИ 069 Угроза неправомерных действий в каналах связи;

УБИ 070 Угроза непрерывной модернизации облачной инфраструктуры;

УБИ 071 Угроза несанкционированного восстановления удалённой защищаемой информации;

УБИ 074 Угроза несанкционированного доступа к аутентификационной информации;

УБИ 075 Угроза несанкционированного доступа к виртуальным каналам передачи;

УБИ 078 Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети;

УБИ 079 Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин;

УБИ 083 Угроза несанкционированного доступа к системе по беспроводным каналам;

УБИ 084 Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети;

УБИ 085 Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации;

УБИ 086 Угроза несанкционированного изменения аутентификационной информации;

УБИ 088 Угроза несанкционированного копирования защищаемой информации;

УБИ 089 Угроза несанкционированного редактирования реестра;

УБИ 090 Угроза несанкционированного создания учётной записи пользователя;

УБИ 091 Угроза несанкционированного удаления защищаемой информации;

УБИ 093 Угроза несанкционированного управления буфером;

УБИ 098 Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб;

УБИ 099 Угроза обнаружения хостов;

УБИ 100 Угроза обхода некорректно настроенных механизмов аутентификации;

УБИ 113 У гроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники;

УБИ 115 Угроза перехвата вводимой и выводимой на периферийные устройства информации;

УБИ 116 Угроза перехвата данных, передаваемых по вычислительной сети;

УБИ 121 Угроза повреждения системного реестра;

УБИ 123 Угроза подбора пароля BIOS;

УБИ 124 Угроза подделки записей журнала регистрации событий;

УБИ 125 Угроза подключения к беспроводной сети в обход процедуры аутентификации;

УБИ 126 Угроза подмены беспроводного клиента или точки доступа;

УБИ 128 Угроза подмены доверенного пользователя;

УБИ 129 Угроза подмены резервной копии программного обеспечения BIOS;

УБИ 130 Угроза подмены содержимого сетевых ресурсов;

УБИ 139 Угроза преодоления физической защиты;

УБИ 140 Угроза приведения системы в состояние "отказ в обслуживании";

УБИ 145 Угроза пропуска проверки целостности программного обеспечения;

УБИ 152 Угроза удаления аутентификационной информации;

УБИ 153 Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов;

УБИ. 155 Угроза утраты вычислительных ресурсов;

УБИ 156 Угроза утраты носителей информации;

УБИ 157 Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;

УБИ 158 Угроза форматирования носителей информации;

УБИ 160 Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации;

УБИ 162 Угроза эксплуатации цифровой подписи программного кода;

УБИ 167 Угроза заражения компьютера при посещении неблагонадёжных сайтов;

УБИ 168 Угроза "кражи" учётной записи доступа к сетевым сервисам;

УБИ 170 Угроза неправомерного шифрования информации;

УБИ 171 Угроза скрытного включения вычислительного устройства в состав бот-сети;

УБИ 172 Угроза распространения "почтовых червей";

УБИ 175 Угроза "фишинга";

УБИ 176 Угроза нарушения технологического/производственного процесса из за временных задержек, вносимых средством защиты;

УБИ 177 Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью;

УБИ 181 Угроза перехвата одноразовых паролей в режиме реального времени;

УБИ 182 Угроза физического устаревания аппаратных компонентов;

УБИ 188 Угроза подмены программного обеспечения;

УБИ 192 Угроза использования уязвимых версий программного обеспечения;

УБИ 194 Угроза несанкционированного использования привилегированных функций мобильного устройства;

УБИ 195 Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы;

УБИ 196 Угроза контроля вредоносной программой списка приложений, запущенных на мобильном устройстве;

УБИ 199 Угроза перехвата управления мобильного устройства при использовании виртуальных голосовых ассистентов;

УБИ 201 Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере;

УБИ 202 Угроза несанкционированной установки приложений на мобильные устройства.

2. В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, при обработке персональных данных в информационных системах персональных данных Мингосуправления Московской области актуальными угрозами безопасности персональных данных являются угрозы 3-го типа (угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе).

3. В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденными приказом ФСБ России от 10 июля 2014 г. N 378, при обработке персональных данных в ИСПДн Мингосуправления Московской области следует применять средства криптографической защиты информации (СКЗИ) для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:

создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;

создание способов, подготовка и проведение атак на этапах жизненного цикла СКЗИ: хранение, эксплуатация;

проведение атаки, находясь вне контролируемой зоны;

проведение атак на этапе эксплуатации СКЗИ на: персональные данные;

ключевую, аутентифицирующую и парольную информацию СКЗИ; программные компоненты СКЗИ; аппаратные компоненты СКЗИ;

программные компоненты среды функционирования (СФ), включая ПО BIOS;

аппаратные компоненты СФ;

данные, передаваемые по каналам связи;

иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (АС) и программного обеспечения (ПО);

получение из находящихся в свободном доступе источников информации об ИС, в которой используется СКЗИ:

общие сведения об ИС, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы ИС);

сведения об информационных технологиях, базах данных, АС, ПО, используемых в ИС совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на указанные средства;

содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;

общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);

все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационными и техническими мерами;

сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;

сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;

сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;

применение находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;

использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки каналов связи, не защищенных от НСД к информации организационными и техническими мерами;

проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если ИС, в которых используются СКЗИ, имеют выход в эти сети;

использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств ИС, применяемых на местах эксплуатации СКЗИ.

В случае размещения ИСПДн либо их сегментов в контролируемых зонах, к которые возможен доступ со стороны лиц, в отношении которых кадровые и организационно-штатные мероприятия, исключающие возможность несанкционированных действий с их стороны, не проводились, в указанных ИСПДн (сегментах ИСПДн) следует применять СКЗИ для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:

проведение атаки при нахождении в пределах контролируемой зоны; проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты СФ;

помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ;

получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС;

сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИС;

сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;

использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.