Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение
к постановлению
Правительства Пензенской области
от 20 апреля 2017 года N 192-пП
Актуальные угрозы безопасности персональных данных при обработке в информационных системах персональных данных
1. Общие положения
1.1. Настоящий документ определяет перечень актуальных угроз безопасности персональных данных (далее - УБ ПДн) при обработке персональных данных (далее - ПДн) в информационных системах персональных данных (далее - ИСПДн), эксплуатируемых органами исполнительной власти и (или) местного самоуправления муниципальных районов и городских округов Пензенской области, и (или) подведомственными им организациями (далее - соответственно Органы, Организации), при осуществлении ими соответствующих видов деятельности, с учетом содержания ПДн, характера и способов их обработки. Данный перечень уточняется по мере выявления новых УБ ПДн и их источников, развития способов и средств их реализации.
1.2. В настоящем документе не рассматриваются вопросы обеспечения безопасности ПДн, отнесенные в установленном порядке к сведениям, составляющим государственную тайну.
1.3. Настоящий документ предназначен для Органов и Организаций при решении ими следующих задач:
- определение УБ ПДн, актуальных при обработке ПДн в ИСПДн;
- анализ защищенности ИСПДн от актуальных УБ ПДн в ходе выполнения мероприятий по информационной безопасности (защите информации);
- модернизация системы защиты ПДн в Органах и Организациях;
- проведение мероприятий по минимизации и (или) нейтрализации УБ ПДн;
- предотвращение несанкционированного воздействия на технические средства ИСПДн;
- контроль за обеспечением уровня защищенности ПДн.
1.4. При определении актуальных УБ ПДн при обработке ПДн в используемых ИСПДн и совокупности предположений о возможностях нарушителя, которые могут использоваться при создании, подготовке и проведении атак, Органы и Организации применяют с учетом категории ИСПДн, условий и особенностей функционирования ИСПДн, характера и способов обработки ПДн в ИСПДн типовые возможности нарушителей безопасности информации и направления атак, приведенные в приложении N 2 к настоящему документу, группы актуальных УБ ПДн в ИСПДн, приведенные в разделе 6 настоящего документа, и расширенный перечень УБ ПДн в ИСПДн, приведенный в приложении N 1 к настоящему документу, и согласно действующим методикам определения актуальных угроз безопасности информации осуществляют определение актуальных УБ ПДн.
1.5. Определение требований к системе защиты информации ИСПДн в зависимости от выявленного класса (уровня) защищенности ИСПДн и УБ ПДн, определенных в качестве актуальных при обработке ПДн в ИСПДн, и осуществление выбора средств защиты информации для системы защиты ПДн проводится в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России во исполнение части 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".
1.6. В документе дано описание:
- категорий ИСПДн как объектов защиты;
- объектов, защищаемых при определении УБ ПДн в ИСПДн;
- возможных источников УБ ПДн, обрабатываемых в ИСПДн;
- возможных видов неправомерных действий и деструктивных воздействий на ПДн в ИСПДн;
- основных способов реализации УБ ПДн.
1.7. В настоящем документе используются термины и понятия, установленные Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года, а также:
"ЕМСПД" - единая мультисервисная сеть передачи данных. Подключение к данной сети ее участников осуществляется с применением аппаратно-программных комплексов шифрования "Континент", обеспечивающих идентификацию и аутентификацию пользователей, доверенную загрузку, контроль целостности программной среды, ведение журнала регистрации событий, ведение системного журнала безопасности. Данная сеть позволяет обеспечить защиту ИСПДн всех уровней и классов защищенности уже на стадии создания;
"СВТ" - средства вычислительной техники;
"НСД" - несанкционированный доступ;
"НДВ" - недекларированные возможности;
"СПО" - системное программное обеспечение;
"ППО" - прикладное программное обеспечение;
"СЗИ" - средства защиты информации;
"СКЗИ" - средства криптографической защиты информации.
2. Владельцы и операторы ИСПДн, сети передачи данных
2.1. Владельцами ИСПДн и их операторами являются федеральные органы или Органы, или Организации.
2.2. Владельцы ИСПДн и их операторы расположены в пределах территории Российской Федерации.
2.3. Контролируемой зоной ИСПДн, функционирующих в Органах (Организациях), являются здания и отдельные помещения, принадлежащие им или арендуемые ими. Все СВТ, участвующие в обработке ПДн, располагаются в пределах контролируемой зоны Органа (Организации). Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование оператора связи (провайдера), используемое для информационного обмена по сетям связи общего пользования (сетям международного информационного обмена) и расположенное за пределами территории Органа (Организации).
2.4. Локальные вычислительные сети передачи данных в Органах и Организациях организованы по топологии "звезда" и имеют подключения к следующим сетям:
1) Внешним сетям (сетям провайдера). Подключение к внешним сетям организовано посредством следующих типов каналов связи:
- оптоволоконных каналов связи операторов связи (провайдеров);
- проводных каналов связи операторов связи (провайдеров).
2) Сетям Органов, Организаций и организаций (предприятий, учреждений), расположенных на территории Российской Федерации. Подключение к данным сетям осуществляется в соответствии с разработанными регламентами взаимодействия. Органы исполнительной власти Пензенской области и администрации муниципальных районов и городских округов Пензенской области имеют подключение к ЕМСПД посредством защищенных каналов связи.
3) Иным сетям, взаимодействие с которыми организовано Органами и Организациями с целью исполнения своих полномочий.
2.5. Подключение к сетям связи общего пользования осуществляется Органами и Организациями при условии соблюдения ими мер по защите передаваемой информации, в том числе мер по защите подключения для передачи данных.
3. Объекты защиты и технологии обработки ПДн в ИСПДн
3.1. При определении Органами и Организациями УБ ПДн в конкретной ИСПДн защите подлежат как минимум следующие объекты, входящие в ИСПДн:
- ПДн, обрабатываемые в ИСПДн;
- информационные ресурсы ИСПДн (файлы, базы данных и т.п.);
- СВТ, участвующие в обработке ПДн посредством ИСПДн;
- СКЗИ;
- среда функционирования СКЗИ;
- информация, относящаяся к криптографической защите ПДн, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;
- документы, дела, журналы, картотеки, издания, технические документы, видео-, кино- и фотоматериалы, рабочие материалы и т.п., в которых отражена защищаемая информация, относящаяся к ИСПДн и их криптографической защите, включая документацию на СКЗИ и на технические и программные компоненты среды функционирования СКЗИ;
- носители защищаемой информации, используемые в ИСПДн в том числе в процессе криптографической защиты ПДн, носители ключевой, парольной и аутентифицирующей информации СКЗИ и порядок доступа к ним;
- используемые ИСПДн каналы (линии) связи, включая кабельные системы;
- сети передачи данных, не выходящие за пределы контролируемой зоны ИСПДн;
- помещения, в которых обрабатываются ПДн посредством ИСПДн и располагаются компоненты ИСПДн;
- помещения, в которых находятся ресурсы ИСПДн, имеющие отношение к криптографической защите ПДн.
3.2. В состав СВТ, участвующих в обработке ПДн посредством ИСПДн, входят:
1) Автоматизированные рабочие места пользователей с различными уровнями доступа (правами) (далее - АРМ).
АРМ представляет собой программно-аппаратный комплекс, позволяющий осуществлять доступ пользователей к ИСПДн и предназначенный для локальной обработки информации.
2) Терминальная станция.
Терминальная станция представляет собой программно-аппаратный комплекс, позволяющий осуществлять доступ пользователей к ИСПДн, но не предназначенный для локальной обработки информации.
3) Серверное оборудование.
Серверное оборудование представляет собой программно-аппаратный комплекс в совокупности с программным и информационным обеспечением для его управления (общесистемное программное обеспечение (операционные системы физических серверов, виртуальных серверов, АРМ и т.п.), прикладное программное обеспечение (системы управления базами данных и т.п.)), предназначенный для обработки и консолидированного хранения данных ИСПДн.
Серверное оборудование может быть представлено АРМ, выполняющими функции сервера.
4) Сетевое и телекоммуникационное оборудование.
Сетевое и телекоммуникационное оборудование представляет собой оборудование, используемое для информационного обмена между серверным оборудованием, АРМ, терминальными станциями (коммутаторы, маршрутизаторы и т.п.).
5) Общесистемное программное обеспечение (операционные системы физических серверов, виртуальных серверов, АРМ и т.п.).
3.3. Ввод ПДн в ИСПДн в Органах и Организациях осуществляется как с бумажных носителей, так и с электронных носителей информации. ПДн выводятся из ИСПДн как в электронном, так и в бумажном виде с целью их хранения и (или) передачи третьим лицам.
4. ИСПДн
1) С целью исполнения своих полномочий Органами и Организациями обрабатываются все категории ПДн. Состав ПДн, подлежащих обработке в конкретной ИСПДн, цели обработки, действия (операции), совершаемые с ПДн в ИСПДн, определяются Органом (Организацией), являющимся оператором ИСПДн.
2) Обработка ПДн в ИСПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных". Перечень обрабатываемых ПДн в ИСПДн соответствует целям их обработки.
3) ИСПДн подразделяются на:
- ИСПДн, оператором которых является сам Орган (Организация);
- ИСПДн, эксплуатируемые Органом (Организацией), но не в качестве ее оператора.
4) ИСПДн и ее компоненты расположены в пределах Российской Федерации.
5) ИСПДн подразделяются в зависимости от технологии обработки ПДн, целей и состава ПДн на следующие категории:
- информационно-справочные;
- сегментные;
- внутриобластные;
- ведомственные;
- служебные.
6) Для всех категорий ПДн вышеуказанных категорий ИСПДн необходимо обеспечивать следующие характеристики безопасности: конфиденциальность, целостность, доступность, подлинность.
7) В рамках ИСПДн возможна модификация и передача ПДн.
4.1. Информационно-справочные ИСПДн
4.1.1. Информационно-справочные ИСПДн используются для официального доведения любой информации до определенного или неопределенного круга лиц, при этом факт доведения такой информации не порождает правовых последствий, однако может являться обязательным в силу действующего законодательства.
4.1.2. К основным информационно-справочным ИСПДн относятся:
- официальные порталы (сайты) Органов и Организаций;
- информационные порталы (сайты), которые ведутся конкретным Органом (Организацией) и посвящаются определенному проекту и (или) мероприятию, проводимому на территории Пензенской области (далее - информационные порталы (сайты));
- закрытые порталы для нескольких групп участников Органов и Организаций;
- региональный интернет-портал государственных и муниципальных услуг (функций) Пензенской области.
4.1.3. Официальные порталы (сайты) Органов и Организаций.
4.1.3.1. Данные ИСПДн содержат сведения о деятельности Органов и Организаций, в том числе сведения, подлежащие обязательному опубликованию в данных ИСПДн в соответствии с действующим законодательством.
4.1.3.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.1.3.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется посредством веб-интерфейса сотрудниками Органа (Организации), являющегося оператором ИСПДн, и гражданами всех стран мира. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
4.1.3.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегося оператором ИСПДн, и граждане всех стран мира.
4.1.3.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации), и (или) на серверном оборудовании иного Органа (Организации) в пределах его контролируемой зоны, и (или) на вычислительных ресурсах облачного провайдера.
4.1.3.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
4.1.3.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.1.3.8. Характерные уровни защищенности ИСПДн: УЗ 4-УЗ 3.
4.1.4. Информационные порталы (сайты).
4.1.4.1. Данные ИСПДн содержат сведения о мероприятиях, проводимых Органами (Организациями) в соответствии с функциями и полномочиями Органов (Организаций).
4.1.4.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.1.4.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется посредством веб-интерфейса сотрудниками Органа (Организации), являющегося оператором ИСПДн, и гражданами всех стран мира. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
4.1.4.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегося оператором ИСПДн, и граждане всех стран мира.
4.1.4.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации), и (или) на серверном оборудовании иного Органа (Организации) в пределах его контролируемой зоны, и (или) на вычислительных ресурсах облачного провайдера.
4.1.4.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
4.1.4.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.1.4.8. Характерные уровни защищенности ИСПДн: УЗ 4.
4.1.5. Закрытые порталы для нескольких групп участников Органов и (или) Организаций.
4.1.5.1. Данные ИСПДн содержат сведения, предоставляемые ограниченному круг лиц из числа Органов и (или) Организаций в соответствии с функциями и полномочиями Органов (Организаций).
4.1.5.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.1.5.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов и (или) Организаций посредством веб-интерфейса в соответствии с предоставленными правами. ПДн хранятся в базе данных ИСПДн и отображаются по запросу соответствующей страницы ИСПДн пользователям в соответствии с предоставленными правами.
4.1.5.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органов и (или) Организаций.
4.1.5.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации), и (или) на серверном оборудовании иного Органа (Организации) в пределах его контролируемой зоны, и (или) на вычислительных ресурсах облачного провайдера.
4.1.5.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
4.1.5.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.1.5.8. Характерные уровни защищенности ИСПДн: УЗ 4-УЗ 3.
4.1.6. Региональный интернет-портал государственных и муниципальных услуг (функций) Пензенской области.
4.1.6.1. Данная ИСПДн содержит социально значимую информацию и сведения, необходимые для получения гражданами государственных и муниципальных услуг в электронном виде.
4.1.6.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.1.6.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций) и гражданами всех стран мира в режиме веб-интерфейса.
ПДн обрабатываются в деперсонифицированном (обезличенном) виде. Запрашиваемые данные не позволяют однозначно идентифицировать субъекта ПДн без использования сторонних баз данных. После получения запрашиваемых данных ИСПДн для получения ответа на запрос субъекта ПДн передает его данные по закрытым каналам связи в ИСПДн иных Органов (Организаций), в чью компетенцию входит предоставление информации по запросу субъекта. Ответ на запрос (сведения о ходе исполнения запроса) субъекта отображается в данной ИСПДн.
4.1.6.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегося оператором ИСПДн, и граждане всех стран мира.
4.1.6.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации), и (или) на серверном оборудовании иного Органа (Организации) в пределах его контролируемой зоны, и (или) на вычислительных ресурсах облачного провайдера.
4.1.6.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
4.1.6.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.1.6.8. Характерные уровни защищенности ИСПДн: УЗ 4.
4.2. Сегментные ИСПДн
4.2.1. Сегментные ИСПДн представляют собой сегменты федеральных ИС, создаются и эксплуатируются на уровне Пензенской области на основании предоставляемых с федерального уровня рекомендаций (правовых, организационных, технических) и используются для сбора, обработки, свода данных на уровне Пензенской области и передачи их на уровень федеральный, и наоборот, при этом цели и задачи создания (модернизации), эксплуатации данных ИС определяются на федеральном уровне. Данные ИСПДн предназначены для реализации полномочий федеральных органов власти и исполнения функций Органов (Организаций).
4.2.2. К основным сегментным ИСПДн относятся:
- региональный сегмент Министерства здравоохранения Российской Федерации "Направление граждан на оказание высокотехнологичной медицинской помощи";
- региональный банк данных о детях, оставшихся без попечения родителей, Министерства образования Пензенской области.
4.2.3. Обработке в ИСПДн могут подлежать все категории ПДн.
4.2.4. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций) в специализированных программах и (или) посредством веб-интерфейса, и в отдельных случаях гражданами всех стран мира в режиме веб-интерфейса (с ограниченными правами доступа).
4.2.5. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: граждане всех стран мира.
4.2.6. Структура ИСПДн: распределенная или локальная, функционирующая в контролируемой зоне Органа (Организации).
4.2.7. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с федеральным уровнем (федеральным сегментом), между региональными сегментами ИСПДн (при наличии) и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием иных средств защиты информации, передаваемой по открытым каналам связи.
4.2.8. СВТ, участвующие в обработке: АРМ, терминальная станция, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.2.9. По технологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации), и передающее данные на центральный сегмент или напрямую в центральный;
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или нарочно;
- построенные по технологии тонкого клиента: на рабочие места пользователей ИСПДн передается только графическая информация, сама обработка данных осуществляется на удаленном серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент, или на центральном сегменте.
ИСПДн, реализованные по технологии тонкого клиента, подразделяются на:
- реализованные посредством веб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) электронного сертификата, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи";
- реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля, и (или) электронного сертификата, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".
4.2.10. Характерные уровни защищенности ИСПДн: УЗ 3-УЗ 1.
4.3. Внутриобластные ИСПДн
4.3.1. Внутриобластные ИСПДн создаются и эксплуатируются по желанию (на основании решения) Правительства Пензенской области (муниципальных образований, городских округов) или Органа (Организации) в интересах нескольких Органов (Организаций), при этом цели и задачи создания (модернизации), эксплуатации данных ИСПДн, а также требования к ним определяются на уровне Пензенской области (муниципальных образований, городских округов) или Органа (Организации) соответственно.
4.3.2. По выполняемым функциям ИСПДн подразделяются на:
- интеграционные (система межведомственного электронного взаимодействия Пензенской области (СМЭВ);
- многопрофильные (например, единая система электронного документооборота и делопроизводства органов исполнительной власти Пензенской области и органов местного самоуправления Пензенской области (СЭДД); автоматизированная информационная система поддержки деятельности многофункциональных центров предоставления государственных и муниципальных услуг Пензенской области (АИС МФЦ);
- ИСПДн для Органов, Организаций и иных организаций (предприятий, учреждений) Пензенской области.
4.3.3. ИСПДн интеграционные.
4.3.3.1. Данные ИСПДн характеризуются отсутствием пользователей (кроме администраторов ИСПДн и администраторов безопасности ИСПДн) и функционируют исключительно в целях интеграции и передачи данных между ИСПДн иных категорий.
4.3.3.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- специальные;
- иные;
- общедоступные.
4.3.3.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством веб-интерфейса в соответствии с предоставленными правами.
4.3.3.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: граждане всех стран мира.
4.3.3.5. Структура ИСПДн: локальная или распределенная, функционирующая в контролируемой зоне Органа (Организации).
4.3.3.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с федеральным уровнем и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием иных средств защиты информации, передаваемой по открытым каналам связи.
4.3.3.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.3.3.8. Характерные уровни защищенности ИСПДн: УЗ 3-УЗ 1.
4.3.4. ИСПДн многопрофильные.
4.3.4.1. Данная ИСПДн предназначена для централизованной автоматизации делопроизводства и документооборота, учета корреспонденции, обращений граждан, обеспечения доступа к электронным документам и т.п. в Органах.
4.3.4.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- специальные;
- иные;
- общедоступные.
4.3.4.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах в соответствии с предоставленными правами.
4.3.4.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: граждане всех стран мира.
4.3.4.5. Структура ИСПДн: локальная или распределенная, функционирующая в контролируемой зоне Органа (Организации).
4.3.4.6. ИСПДн подключена к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- посредством ЕМСПД;
- с использованием сторонних СКЗИ.
4.3.4.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.3.4.8. Характерные уровни защищенности ИСПДн: УЗ 3-УЗ 2.
4.3.5. ИСПДн для Органов, Организаций и иных организаций (предприятий, учреждений) Пензенской области.
4.3.5.1. Данные ИСПДн предназначены для автоматизации совместной деятельности Органов, Организаций и иных организаций (предприятий, учреждений) Пензенской области, в том числе деятельности, которая необходима к исполнению в соответствии с требованиями действующего законодательства.
4.3.5.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- иные;
- общедоступные.
4.3.5.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется в соответствии с предоставленными правами сотрудниками Органов (Организаций) и организациями (предприятиями, учреждениями) Пензенской области в специализированных программах в режиме веб-интерфейса.
4.3.5.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органов (Организаций) и организаций (предприятий, учреждений) Пензенской области.
4.3.5.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.3.5.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием сторонних СКЗИ.
4.3.5.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.3.5.8. Характерные уровни защищенности ИСПДн: УЗ 3-УЗ 2.
4.3.6. По архитектуре внутриобластные ИСПДн подразделяются на:
- сегментированные;
- централизованные;
- смешанные.
4.3.6.1. Сегментированные ИСПДн делятся на сегменты (центральный и периферийный), функционирующие независимо.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
Периферийные сегменты являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. В состав периферийных сегментов входят АРМ, а также АРМ, выполняющий функции сервера, или серверное оборудование. Пользователи периферийных сегментов подключаются к расположенному в пределах контролируемой зоны АРМ, выполняющему функции сервера, или серверному оборудованию, осуществляющему консолидацию сведений на уровне периферийного сегмента, который в свою очередь передает полученные данные в центральный сегмент.
По технологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к АРМ, выполняющему функции сервера, или серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации) и передающему данные на центральный сегмент;
- построенные по технологии тонкого клиента: на рабочие места пользователей ИСПДн передается только графическая информация, сама обработка данных осуществляется на серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент.
ИСПДн, реализованные по технологии тонкого клиента, подразделяются на:
- реализованные посредством веб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи";
- реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".
4.3.6.2. Централизованные ИСПДн делятся на сегменты (центральный и периферийный).
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
В состав периферийных сегментов входят только АРМ, которые являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. Пользователи периферийных сегментов подключаются напрямую к центральному сегменту и осуществляют обработку данных непосредственно на нем.
По технологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к центральному сегменту;
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или нарочно;
- построенные по технологии тонкого клиента: на рабочие места пользователей ИСПДн передается только графическая информация, сама обработка данных осуществляется на центральном сегменте.
ИСПДн, реализованные по технологии тонкого клиента, подразделяются на:
- реализованные посредством веб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи";
- реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".
4.3.6.3. Смешанные ИСПДн построены с одновременным применением сегментированных и централизованных архитектур. Данные ИСПДн могут объединять в себе технологии обработки, характерные как для сегментированных ИСПДн, так и для централизованных ИСПДн.
4.4. Ведомственные ИСПДн
4.4.1. Ведомственные ИСПДн создаются (эксплуатируются) по решению Органа (Организации) в своих интересах и интересах подведомственных ему организаций (предприятий, учреждений), цели и задачи создания (модернизации), эксплуатации которых определяются Органом (Организацией). Ведомственные ИСПДн предназначены для исполнения функций Органов (Организаций).
4.4.2. К основным ведомственным ИСПДн относятся АИС ЗАГС.
4.4.3. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- специальные;
- иные.
4.4.4. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством веб-интерфейса в соответствии с предоставленными правами.
4.4.5. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники оператора ИСПДн и иных Органов (Организаций), а также сторонние граждане.
4.4.6. Структура ИСПДн: распределенная или локальная, функционирующая в контролируемой зоне Органа (Организации).
4.4.7. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Обмен (передача и получение) ПДн между сегментами ИСПДн (при наличии) и с иными ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием сторонних СКЗИ.
Также обмен ПДн между сегментами ИСПДн (при наличии) и с иными ИСПДн может осуществляться посредством собственных корпоративных сетей Органа (Организации).
4.4.8. СВТ, участвующие в обработке: АРМ, терминальная станция, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.4.9. Характерные уровни защищенности ИСПДн: УЗ 3-УЗ 1.
4.4.10. По архитектуре ведомственные ИСПДн подразделяются на:
- сегментированные;
- централизованные;
- смешанные.
4.4.10.1. Сегментированные ИСПДн делятся на сегменты (центральный и периферийный), функционирующие независимо.
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
Периферийные сегменты являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. В состав периферийных сегментов входят АРМ, а также АРМ, выполняющий функции сервера, или серверное оборудование. Пользователи периферийных сегментов подключаются к расположенному в пределах контролируемой зоны АРМ, выполняющему функции сервера, или серверному оборудованию, осуществляющему консолидацию сведений на уровне периферийного сегмента, который в свою очередь передает полученные данные в центральный сегмент.
По технологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к АРМ, выполняющему функции сервера, или серверному сегменту, располагающемуся в пределах контролируемой зоны Органа (Организации) и передающему данные на центральный сегмент;
- построенные по технологии тонкого клиента: на рабочие места пользователей ИСПДн передается только графическая информация, сама обработка данных осуществляется на серверном сегменте, располагающемся в пределах контролируемой зоны Органа (Организации) и передающем данные на центральный сегмент.
ИСПДн, реализованные по технологии тонкого клиента, подразделяются на:
- реализованные посредством веб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи";
- реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".
4.4.10.2. Централизованные ИСПДн делятся на сегменты (центральный и периферийный).
Центральный сегмент является единой точкой консолидации информации, получаемой от периферийных сегментов.
В состав периферийных сегментов входят только АРМ, которые являются непосредственно точками, которые отвечают за наполнение и первоначальную обработку информации. Пользователи периферийных сегментов подключаются напрямую к центральному сегменту и осуществляют обработку данных непосредственно на нем.
По технологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к центральному сегменту;
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее выгрузку данных на локальный носитель и последующую передачу выгруженных данных посредством защищенного канала связи или нарочно;
- построенные по технологии тонкого клиента: на рабочие места пользователей ИСПДн передается только графическая информация, сама обработка данных осуществляется на центральном сегменте.
ИСПДн, реализованные по технологии тонкого клиента, подразделяются на:
- реализованные посредством веб-интерфейса с применением веб-браузера и с авторизацией с помощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи";
- реализованные с использованием терминального доступа с авторизацией с помощью логина и пароля, и (или) сертификата электронной подписи в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".
4.4.10.3. Смешанные ИСПДн построены с одновременным применением сегментированных и централизованных архитектур. Данные ИСПДн могут объединять в себе технологии обработки, характерные как для сегментированных ИСПДн, так и для централизованных ИСПДн.
4.5. Служебные ИСПДн
4.5.1. Служебные ИСПДн создаются (эксплуатируются) по желанию (на основании решения) Органа (Организации) и его лиц в интересах Органа (Организации) и его лиц, цели и задачи создания (модернизации), эксплуатации которых определяются Органом (Организацией), и используются для автоматизации определённой области деятельности или типовой деятельности, неспецифичной относительно полномочий конкретного Органа (Организации). Служебные ИСПДн предназначены для управления бизнес-процессами в Органе (Организации).
4.5.2. К основным служебным ИСПДн относятся:
- ИСПДн бухгалтерского учета и управления финансами;
- ИСПДн кадрового учета и управления персоналом;
- ИСПДн пенсионного фонда и налоговых служб;
- ИСПДн документооборота и делопроизводства;
- ИСПДн поддерживающие.
4.5.3. ИСПДн бухгалтерского учета и управления финансами.
4.5.3.1. Данные ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с ведением бухгалтерского учета и управлением финансами.
4.5.3.2. Обработке в ИСПДн подлежат иные категории ПДн.
4.5.3.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством веб-интерфейса в соответствии с предоставленными правами.
4.5.3.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегося оператором ИСПДн.
4.5.3.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.3.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- с использованием сторонних СКЗИ.
4.5.3.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.5.3.8. По технологии обработки ИСПДн подразделяются на:
- построенные по технологии толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к базе данных, которая хранится на серверном сегменте (сервере/АРМ, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации);
- построенные по технологии тонкого клиента: на рабочие места пользователей ИСПДн передается только графическая информация, сама обработка данных осуществляется на удаленном серверном сегменте (сервере/АРМ, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации).
Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
4.5.3.9. Характерные уровни защищенности ИСПДн: УЗ 4-УЗ 3.
4.5.4. ИСПДн кадрового учета и управления персоналом.
4.5.4.1. Данные ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с ведением кадрового учета и управления персоналом.
4.5.4.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- специальные;
- иные.
4.5.4.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных и (или) стандартных офисных программах, и (или) посредством веб-интерфейса в соответствии с предоставленными правами.
4.5.4.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегося оператором ИСПДн, граждане Российской Федерации, устанавливающие (имеющие) трудовые отношения (трудовые договоры, служебные контракты) с Органом (Организацией).
4.5.4.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.4.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- с использованием сторонних СКЗИ.
4.5.4.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.5.4.8. Технология обработки ПДн в ИСПДн построена по принципу толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к базе данных, которая хранится на серверном сегменте (сервере/АРМ, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации). Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
4.5.4.9. Характерные уровни защищенности ИСПДн: УЗ 4-УЗ 2.
4.5.5. ИСПДн пенсионного фонда и налоговых служб.
4.5.5.1. Данные ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с осуществлением пенсионных отчислений и уплатой налогов.
4.5.5.2. Обработке в ИСПДн подлежат иные категории ПДн.
4.5.5.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах и (или) посредством веб-интерфейса в соответствии с предоставленными правами.
4.5.5.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегося оператором ИСПДн.
4.5.5.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.5.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- с использованием сторонних СКЗИ.
4.5.5.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.5.5.8. Технология обработки ПДн в ИСПДн построена по принципу толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к серверному сегменту (серверу/АРМ, выполняющему функцию сервера), располагающемуся вне контролируемой зоны Органа (Организации). Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
4.5.5.9. Характерные уровни защищенности ИСПДн: УЗ 4-УЗ 3.
4.5.6. ИСПДн документооборота и делопроизводства.
4.5.6.1. Данные ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с осуществлением документооборота и делопроизводства.
4.5.6.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- специальные;
- иные;
- общедоступные.
4.5.6.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных программах в соответствии с предоставленными правами.
4.5.6.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегося оператором ИСПДн, и граждане всех стран мира.
4.5.6.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.6.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн осуществляется в зависимости от технологии подключения к сетям связи общего пользования (сетям международного информационного обмена):
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- посредством ЕМСПД;
- с использованием сторонних СКЗИ.
4.5.6.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.5.6.8. Технология обработки ПДн в ИСПДн построена по принципу толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к базе данных, которая хранится на серверном сегменте (сервере/АРМ, выполняющем функцию сервера), располагающемся в пределах контролируемой зоны Органа (Организации). Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
4.5.6.9. Характерные уровни защищенности ИСПДн: УЗ 4-УЗ 2.
4.5.7. ИСПДн поддерживающие.
4.5.7.1. Данные ИСПДн предназначены для автоматизации деятельности Органа (Организации), связанной с осуществлением им (его сотрудниками) своих функций, полномочий и задач.
4.5.7.2. Категории ПДн, которые могут подлежать обработке в ИСПДн:
- специальные;
- иные;
- общедоступные.
4.5.7.3. Режим обработки ПДн в ИСПДн: многопользовательский, ИСПДн предусматривает разграничение доступа. Обработка ПДн осуществляется сотрудниками Органов (Организаций) в специализированных и (или) стандартных офисных программах, и (или) посредством веб-интерфейса в соответствии с предоставленными правами.
4.5.7.4. Типы субъектов ПДн, которые могут подлежать обработке в ИСПДн: сотрудники Органа (Организации), являющегося оператором ИСПДн, и граждане всех стран мира.
4.5.7.5. Структура ИСПДн: локальная, функционирующая в контролируемой зоне Органа (Организации).
4.5.7.6. ИСПДн подключены к сетям связи общего пользования (сетям международного информационного обмена). По типу подключения ИСПДн делятся на:
- без подключения (передача ПДн осуществляется с использованием машинных носителей);
- подключенные посредством ЕМСПД;
- подключенные с использованием иных каналов связи.
Передача ПДн в иные ИСПДн не осуществляется.
4.5.7.7. СВТ, участвующие в обработке: АРМ, серверное оборудование, сетевое и телекоммуникационное оборудование.
4.5.7.8. По технологии обработки ИСПДн подразделяются на:
- построенные по принципу толстого клиента: на рабочие места пользователей ИСПДн устанавливается специальное клиентское приложение, осуществляющее подключение к серверному сегменту (серверу/АРМ, выполняющему функцию сервера), располагающемуся в пределах контролируемой зоны Органа (Организации);
- построенные на базе стандартного офисного программного обеспечения: ИСПДн представляет собой базу данных в формате стандартного офисного приложения, обрабатываемую и хранящуюся на АРМ;
- построенные по веб-технологии: пользователи работают в ИСПДн посредством веб-интерфейса, подключающегося к локальному веб-серверу, располагающемуся в пределах контролируемой зоны Органа (Организации).
Доступ к ПДн в ИСПДн предоставляется пользователю после ввода логина и пароля (предъявления идентификатора).
4.5.7.9. Характерные уровни защищенности ИСПДн: УЗ 4-УЗ 2.
5. УБ ПДн, выявленные при функционировании ИСПДн
5.1. Источники УБ ПДн.
Источниками УБ ПДн в ИСПДн выступают:
- носитель вредоносной программы;
- аппаратная закладка;
- нарушитель.
5.1.1. Носитель вредоносной программы.
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:
- отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW и т.п.), флэш-память, отчуждаемый винчестер и т.п.;
- встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок, - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти, шин передачи данных, портов ввода/вывода;
- микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).
Если вредоносная программа ассоциируется с какой-либо прикладной программой, файлами, имеющими определенные расширения или иные атрибуты, сообщениями, передаваемыми по сети, то ее носителями являются:
- пакеты передаваемых по компьютерной сети сообщений;
- файлы (текстовые, графические, исполняемые и т.д.).
5.1.2. Аппаратная закладка.
Потенциально может рассматриваться возможность применения аппаратных средств, предназначенных для регистрации вводимой в ИСПДн с клавиатуры АРМ информации (ПДн), например:
- аппаратная закладка внутри клавиатуры;
- считывание данных с кабеля клавиатуры бесконтактным методом;
- включение устройства в разрыв кабеля;
- аппаратная закладка внутри системного блока и др.
Однако в виду отсутствия возможности неконтролируемого пребывания физических лиц в служебных помещениях, в которых размещены технические средства ИСПДн, или в непосредственной близости от них, соответственно отсутствует возможность установки аппаратных закладок посторонними лицами.
Существование данного источника маловероятно также из-за несоответствия стоимости аппаратных закладок, сложности их скрытой установки и полученной в результате информации.
5.1.3. Нарушитель.
Под нарушителем безопасности информации понимается физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке в ИСПДн.
По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на три типа:
- Внешний нарушитель. Данный тип нарушителя не имеет права постоянного или имеет право разового (контролируемого) доступа в КЗ, а также не имеет доступа к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ, или он ограничен и контролируется. Данный тип нарушителя может реализовывать угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
- Внутренний нарушитель, имеющий доступ к ИСПДн. Данный тип нарушителя имеет право постоянного (периодического) доступа на территорию КЗ, а также доступ к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ. Данный тип нарушителя может проводить атаки с использованием внутренней (локальной) сети передачи данных и непосредственно в ИСПДн;
- Внутренний нарушитель, не имеющий доступ к ИСПДн. Данный тип нарушителя имеет право постоянного (периодического) доступа на территорию КЗ, но не имеет доступ к техническим средствам и ресурсам ИСПДн, расположенным в пределах КЗ. Данный тип нарушителя может проводить атаки с использованием внутренней (локальной) сети передачи данных.
5.2. Основные УБ ПДн в ИСПДн.
Основными группами УБ ПДн в ИСПДн являются:
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием суперкомпьютерных технологий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6. Актуальные УБ ПДн в ИСПДн
В настоящем разделе документа приведены группы актуальных УБ ПДн в ИСПДн из групп, указанных в пункте 5.2 настоящего документа, исходя из содержания ПДн, характера и способов их обработки.
6.1. Информационно-справочные ИСПДн
6.1.1. Официальные порталы (сайты) Органов и Организаций.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.1.2. Информационные порталы (сайты).
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.1.3. Закрытые порталы для нескольких групп участников Органов и (или) Организаций.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.1.4. Региональный интернет-портал государственных и муниципальных услуг (функций) Пензенской области.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием облачных услуг;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.2. Служебные ИСПДн
6.2.1. ИСПДн бухгалтерского учета и управления финансами.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.2.2. ИСПДн кадрового учета и управления персоналом.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.2.3. ИСПДн пенсионного фонда и налоговых служб.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.2.4. ИСПДн документооборота и делопроизводства.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.2.5. ИСПДн поддерживающие.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.3. Ведомственные ИСПДн
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.4. Внутриобластные ИСПДн
6.4.1. ИСПДн интеграционные.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.4.2. ИСПДн многопрофильные.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.4.3. ИСПДн для Органов, Организаций и иных организаций (предприятий, учреждений) Пензенской области.
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
6.5. Сегментные ИСПДн
- Угрозы утечки информации по техническим каналам;
- Угрозы использования штатных средств ИСПДн с целью совершения НСД к информации;
- Угрозы нарушения доступности информации;
- Угрозы нарушения целостности информации;
- Угрозы НДВ в СПО и ППО;
- Угрозы, не являющиеся атаками;
- Угрозы НСД, создающие предпосылки для реализации НСД в результате нарушения процедуры авторизации и аутентификации;
- Угрозы НСД к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом;
- Угрозы ошибок/внесения уязвимостей при проектировании, внедрении ИСПДн/системы информационной безопасности ИСПДн;
- Угрозы ошибочных/деструктивных действий лиц;
- Угрозы нарушения конфиденциальности;
- Угрозы программно-математических воздействий;
- Угрозы, связанные с использованием технологий виртуализации;
- Угрозы, связанные с нарушением правил эксплуатации машинных носителей;
- Угрозы, связанные с нарушением процедур установки/обновления программного обеспечения и оборудования;
- Угрозы физического доступа к компонентам ИСПДн;
- Угрозы эксплуатации уязвимостей в СПО, ППО, СЗИ, СКЗИ, аппаратных компонентах ИСПДн, микропрограммном обеспечении;
- Угрозы, связанные с использованием сетевых технологий;
- Угрозы инженерной инфраструктуры;
- Угрозы, связанные с отсутствием системы регистрации событий информационной безопасности;
- Угрозы, связанные с контролем защищенности ИСПДн;
- Угрозы, связанные с перехватом защищаемой информации при ее передаче по каналам связи.
7. Меры, направленные на минимизацию УБ ПДн в ИСПДн
При обработке ПДн в ИСПДн Органы (Организации) применяют правовые, организационные и технические меры, установленные Концепцией информационной безопасности Пензенской области и действующим законодательством, а также руководствуются положениями следующих нормативных правовых актов:
- Федеральный закон Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных";
- постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановление Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- приказ ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- приказ ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
- приказ ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
- "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденная заместителем директора ФСТЭК России 15 февраля 2008 года;
- "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденная заместителем директора ФСТЭК России 14 февраля 2008 года;
- "Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости" Минздравсоцразвития России, согласованные с ФСТЭК России 22 декабря 2009 года;
- "Модель угроз типовой медицинской информационной системы (МИС) типового лечебного профилактического учреждения (ЛПУ)", Минздравсоцразвития России, согласованная с ФСТЭК России 27 ноября 2009 года;
- "Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли", согласованная с ФСТЭК России, ФСБ России и одобренная Решением секции N 1 Научно-технического совета Минкомсвязи России "Научно-техническое и стратегическое развитие отрасли" от 21 апреля 2010 года N 2;
- руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация информационных систем и требования по защите информации", утвержденный решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года;
- "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", утвержденные решением Коллегии Гостехкомиссии России N 7.2/02.03.01;
- "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности", утвержденные руководством 8 Центра ФСБ России (N 149/7/2/6-432 от 31 марта 2015 года).
Реализация правовых, организационных и технических мер, направленных на минимизацию УБ ПДн в ИСПДн, осуществляется специалистами по информационной безопасности (технической защите информации) Органов (Организаций), ответственными за планирование, организацию и реализацию мероприятий по обеспечению информационной безопасности в Органе (Организации).
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.