Глава 1. Общие положения. Постановление администрации Костромской области от 03.04.2017 N 137-а "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных администрации Костромской области"

Глава 1. Общие положения

1. Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных администрации Костромской области (далее - Актуальные угрозы безопасности ИСПДн АКО), разработаны в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

2. Актуальные угрозы безопасности ИСПДн АКО содержат перечень актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) администрации Костромской области.

3. При разработке Актуальных угроз безопасности ИСПДн АКО использованы нормативные правовые акты:

1) Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

2) Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных";

3) Указ Президента Российской Федерации от 17 марта 2008 года N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

4) Указ Президента Российской Федерации от 22 мая 2015 года N 260 "О некоторых вопросах информационной безопасности Российской Федерации";

5) постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

6) приказ Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Приказ ФСТЭК России);

7) приказ Федеральной службы безопасности Российской Федерации (далее - ФСБ России) от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (далее - Приказ ФСБ России);

8) приказ ФСБ России от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

9) Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года N 149/7/2/6-432 (далее - Методические рекомендации ФСБ России по разработке НПА);

10) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России от 14 февраля 2008 года;

11) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России от 15 февраля 2008 года (далее - Базовая модель угроз).

4. Угрозы безопасности персональных данных, обрабатываемые в ИСПДн администрации Костромской области, приведенные в Актуальных угрозах безопасности ИСПДн АКО, подлежат адаптации в ходе разработки частных моделей угроз безопасности персональных данных.

5. Частная модель угроз безопасности персональных данных разрабатывается в соответствии с Базовой моделью угроз и с учетом требований Приказа ФСТЭК России и Приказа ФСБ России.

6. При разработке частных моделей угроз безопасности персональных данных проводится анализ структурно-функциональных характеристик конкретной ИСПДн и применяемых в ней информационных технологий, а также особенностей ее функционирования, в том числе с использованием банка данных угроз безопасности информации (www.bdu.fstec.ru).

7. В частной модели угроз безопасности персональных данных указываются:

1) описание ИСПДн и ее структурно-функциональных характеристик;

2) описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя);

3) описание возможных уязвимостей ИСПДн, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

8. Персональные данные субъектов персональных данных обрабатываются с целью обеспечения деятельности администрации Костромской области и исполнительных органов государственной власти Костромской области (далее - ИОГВ).

9. Актуальные угрозы безопасности персональных данных, обрабатываемые в ИСПДн, содержащиеся в Актуальных угрозах безопасности ИСПДн АКО, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в ИСПДн администрации Костромской области. Указанные изменения согласовываются с ФСТЭК России и ФСБ России в установленном порядке.

10. ИСПДн администрации Костромской области характеризуются тем, что в качестве объектов информатизации выступают распределенные ИСПДн, имеющие подключение к информационно-телекоммуникационным сетям общего пользования (далее - сети общего пользования) и (или) информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет").

11. ИСПДн ИОГВ характеризуются тем, что в качестве объектов информатизации выступают автоматизированные рабочие места, имеющие подключение к ИСПДн администрации Костромской области, а также подключение к сетям общего пользования и (или) сети "Интернет".

12. ИСПДн администрации Костромской области и ИСПДн ИОГВ имеют различную структуру, являются разноплановыми системами.

13. Ввод персональных данных в ИСПДн администрации Костромской области и ИСПДн ИОГВ, а также вывод данных из ИСПДн администрации Костромской области и ИСПДн ИОГВ осуществляется с использованием бумажных и электронных носителей информации. В качестве электронных носителей информации используются учтенные носители информации, в том числе и компакт-диски.

14. Информационный обмен персональными данными по сетям общего пользования и (или) сети "Интернет" осуществляется с использованием сертифицированных шифровальных (криптографических) средств защиты информации (далее - СКЗИ).

15. Технические средства ИСПДн администрации Костромской области и ИСПДн ИОГВ размещаются на территории Российской Федерации.

16. Базы данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации находятся на территории Российской Федерации.

17. Контролируемой зоной ИСПДн администрации Костромской области и ИСПДн ИОГВ являются административные здания и отдельные помещения. В пределах контролируемой зоны находятся рабочие места пользователей, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн администрации Костромской области и ИСПДн ИОГВ. Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям общего пользования и (или) сети "Интернет".

18. В административных зданиях осуществляется пропускной режим, неконтролируемое пребывание посторонних лиц и неконтролируемое перемещение (вынос за пределы здания) компьютеров и оргтехники запрещено. Помещения оборудованы запирающимися дверями.

19. Защита персональных данных в ИСПДн администрации Костромской области и ИСПДн ИОГВ и сетях общего пользования, подключаемых к сети "Интернет", обеспечивается средствами защиты информации (далее - СЗИ):

1) средствами антивирусной защиты, сертифицированными ФСТЭК России, не ниже 4 класса;

2) межсетевыми экранами, сертифицированными ФСТЭК России, не ниже 3 класса;

3) СКЗИ, формирующими виртуальные частные сети (VPN), сертифицированными ФСБ России по классу КС1 и выше;

4) средством государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.