Приложение 4. Перечень угроз безопасности персональных данных при их обработке в информационной системе персональных данных в министерстве культуры Республики Крым. Приказ Министерства культуры Республики Крым от 01.09.2017 N 178-л "О защите персональных данных" (с изменениями и дополнениями)

Приложение 4
к приказу Министерства
культуры Республики Крым
от 01.09.2017 N 178-л

Перечень
угроз безопасности персональных данных при их обработке в информационной системе персональных данных в министерстве культуры Республики Крым

1. Угрозы безопасности персональных данных определяемые согласно требованиям Федеральной службы по техническому и экспортному контролю для информационных систем персональных данных обеспечения типовой и специальной деятельности Министерства культуры Республики Крым (далее - ИСПДн, Министерство):

1.1. Угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;

1.2. Угрозы разглашения пользовательских имен и паролей;

1.3. Угрозы, связанные с расширением привилегий пользователей;

1.4. Угрозы, связанные с возможностью внедрения операторов SQL;

1.5. Угрозы несанкционированного копирования защищаемой информации;

1.6. Угрозы внедрения вредоносных программ;

1.7. Угрозы наличия механизмов разработчика;

1.8. Угрозы "Анализ сетевого трафика" с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации;

1.9. Угрозы сканирования, направленные на выявление типа операционной системы, сетевых адресов рабочих Станций, открытых портов и служб, открытых соединений и другого;

1.10. Угрозы выявления паролей;

1.11. Угрозы получения несанкционированного доступа путем подмены доверенного объекта;

1.12. Угрозы удаленного запуска приложений;

1.13. Угрозы несанкционированного отключения средств защиты информации;

1.14. Угрозы, связанные с недостаточной квалификацией обслуживающего информационные системы персональных данных (далее - ИСПДн) персонала;

1.15. Угрозы непреднамеренного или преднамеренного вывода из строя технических средств;

1.16. Угрозы надежности технических средств и коммуникационного оборудования;

1.17. Угрозы утраты носителей информации;

1.18. Угрозы легитимности использования программного обеспечения;

1.19. Угрозы достаточности и качества применяемых средств защиты информации и средств антивирусной защиты;

1.20. Угрозы использования информации идентификации (аутентификации) заданной по умолчанию;

1.21. Угрозы, связанные с анализом сетевого трафика между компонентами информационной системы с целью получения аутентификационной информации;

1.22. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;

1.23. Угрозы подмены доверенного объекта;

1.24. Угрозы заражения DNS-кеша;

1.25. Угрозы неправомерных действий в каналах связи;

1.26. Угрозы совершения атак на монитор виртуальных машин из физической сети;

1.27. Угрозы совершения атаки с виртуальной машины на другую виртуальную машину;

1.28. Угрозы совершения атаки на систему управления виртуальной инфраструктурой;

1.29. Угрозы выхода процесса за пределы виртуальной машины;

1.30. Угрозы неконтролируемого копирования данных внутри хранилища больших данных;

1.31. Угрозы неконтролируемого уничтожения информации хранилищем больших данных;

2. Угрозы безопасности персональных данных для информационных систем персональных данных обеспечения типовой и специальной деятельности, установленные дополнительно согласно требованиям Федеральной службы безопасности Российской Федерации:

2.1. Угрозы внесения несанкционированных изменений в средства криптографической защиты информации (далее - СКЗИ) и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ, в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований;

2.2. Угрозы внесения несанкционированных изменений в документацию на СКЗИ и компоненты СФ;

2.3. Угрозы атаки на персональные и все возможные данные, передаваемые в открытом виде по каналам связи;

2.4. Угрозы получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть Интернет) информации об информационной системе, в которой используются СКЗИ;

2.5. Угрозы получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть Интернет) информации об информационной системе, в которой используются СКЗИ;

2.6. Угрозы применения находящихся в свободном доступе или используемых за пределами контролируемой зоны автоматизированных систем (далее - АС) и программного обеспечения (далее - ПО), включая аппаратные и программные компоненты АС и ПО, а также специально разработанных АС и ПО;

2.7. Угрозы применения находящихся в свободном доступе или используемых за пределами контролируемой зоны автоматизированных систем (далее - АС) и программного обеспечения (далее - ПО), включая аппаратные и программные компоненты АС и ПО, а также специально разработанных АС и ПО;

2.8. Угрозы использования на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки: каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами; каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;

2.9. Угрозы проведения на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;

2.10. Угрозы использования на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ.