Вход
Приказ Министерства здравоохранения Республики Тыва от 30 мая 2017 г. N 617 "Об утверждении модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерстве здравоохранения Республики Тыва"
В соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации"; Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить прилагаемую Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерстве здравоохранения Республики Тыва (далее - Модель угроз).
2. Начальникам отделов организовать ознакомление подчиненных специалистов с настоящим приказом.
3. Возложить на начальника отдела организационно-правового обеспечения и кадровой политики Болаа А.А. персональную ответственность за исполнение требований настоящего приказа.
4. ГБУ "Медицинский информационно-аналитический центр Республики Тыва" разместить настоящий приказ на официальном сайте Министерства здравоохранения Республики Тыва.
5. Контроль за выполнением настоящего приказа возложить на заместителя министра здравоохранения Республики Тыва К.К. Монгуш.
6. Отделу организационно-правового обеспечения и кадровой политики ознакомить ответственных лиц с настоящим приказом.
|
Министр |
О.Э. Донгак |
Модель
угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерства здравоохранения Республики Тыва
(утв. приказом Минздрава РТ от 30 мая 2017 г. N 617)
Обозначения и сокращения
ABC - антивирусные средства
АРМ - автоматизированное рабочее место
ВТСС - вспомогательные технические средства и системы
ИСПДн - информационная система персональных данных
КЗ - контролируемая зона
ЛВС - локальная вычислительная сеть
МЭ - межсетевой экран
НСД - несанкционированный доступ
ОС - операционная система
ПДн - персональные данные
ПМВ - программно-математическое воздействие
ПО - программное обеспечение
ГТЭМИН - побочные электромагнитные излучения и наводки
САЗ - система анализа защищенности
СЗИ - средства защиты информации
СЗПДн - система (подсистема) защиты персональных данных
СОВ - система обнаружения вторжений
ТКУ И - технические каналы утечки информации
УБПДн - угрозы безопасности персональных данных
ФСТЭК России - Федеральная служба по техническому и экспортному контролю
Определения
В настоящем документе используются следующие термины и их определения:
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Межсетевой экран - локальное (однокомпонентное) или функционально- распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Не декларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Побочные электромагнитные излучения и паводки - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Уязвимость - слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
1. Общие положения
Настоящая модель определяет актуальные угрозы безопасности персональных данных, при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее - информационная система) в М3 РТ.
Настоящая модель угроз разработана в соответствии со следующими основными документами:
Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных";
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 (далее - Положение);
ГАРАНТ:
Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 названное Положение признано утратившим силу
См. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства РФ от 1 ноября 2012 г. N 1119)
Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный N 11462) (далее - Порядок);
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.);
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.).
В соответствии с п. 2 Положения безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
В соответствии с п. 12 Положения необходимым условием разработки системы защиты персональных данных является формирование модели угроз безопасности персональных данных (далее - модель угроз).
Кроме этого, в соответствии с п. 16 Порядка модель угроз необходима для определения класса специальной информационной системы.
Модель угроз формируется и утверждается оператором в соответствии с методическими документами, разработанными в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
Модель угроз может быть пересмотрена:
по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
2. Описание ИСПДн
Описание ИСПДн является первым шагом при построении модели угроз и осуществляется на этапе сбора и анализа исходных данных.
Описание ИСПДн состоит из следующих пунктов:
1) Описание условий создания и использования ПДн;
Описание форм представления ПДн;
Описание структуры ИСПДн;
Описание характеристик безопасности.
2.1. Определение характеристик безопасности
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Доступность информации - состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.
При обработке персональных данных в ИСПДн МЗ РТ необходимо обеспечить следующие характеристики безопасности - конфиденциальность, целостность.
3. Пользователи ИСПДн М3 РТ
Основные группы пользователей ИСПДн:
Администратор ИСПДн, осуществляющий настройку и установку технических средств ИСПДн и обеспечивающий ее бесперебойную работу;
Операторы ИСПДн, осуществляющие текущую работу с персональными данными.
Матрица доступа для ИСПДн М3 РТ представлена в таблице 1.
Таблица 1
|
Роль |
Уровень доступа к ПДн |
Разрешенные действия |
|
Администратор ИСПДн |
Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн.
Обладает полной информацией о технических средствах и конфигурации ИСПДн.
Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.
Обладает правами конфигурирования и административной настройки технических средств ИСПДн. |
- сбор - систематизация - накопление - хранение - уточнение - использование - распространение - обезличивание - блокирование - уничтожение |
|
Оператор ИСПДн |
Обладает правами доступа к подмножеству ПДн.
Располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн. |
- сбор - систематизация - накопление - хранение - уточнение - использование - распространение - обезличивание |
4. Описание угроз в М3 РТ
4.1. Модель нарушители
Источниками угроз НСД в ИС могут быть:
- Нарушитель;
- Носитель вредоносной программы;
- Аппаратная закладка.
По признаку принадлежности все нарушители делятся на две группы:
- внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой находится ИС в которой циркулирует информация;
- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой находится ИС в которой циркулирует информация.
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядок проведения работ, направленных на предотвращение и пресечение несанкционированных действий. Исходя из особенностей функционирования ИС, допущенные к ней физические лица имеют разные полномочия на доступ к информационным, программным, аппаратным и другим ресурсам ИС в соответствии с принятой политикой информационной безопасности. К внутренним нарушителям могут относиться:
- администраторы ИС;
- пользователи ИС;
- сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются ресурсы ИС, но не имеющие права доступа к ресурсам;
- обслуживающий персонал (охрана, работники инженерно-технических служб и т.д.).
В зависимости от квалификации нарушителей рассматриваются следующие категории:
1. Хакер-одиночка;
2. Объединенная хакерская группа;
3. Предприятие-конкурент.
Классификация нарушителей по мотивации:
- хакеры-одиночки;
- промышленные шпионы;
- профессиональные преступники.
Среды целей, преследуемых нарушителями, отмечаются:
- любопытство;
- вандализм;
- месть;
- финансовая выгода;
- конкурентная выгода;
- сбор информации.
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.
К внешним нарушителям могут относиться:
- бывшие сотрудники - администраторы или пользователи ИС;
- посторонние лица, пытающиеся получить доступ к информации в инициативном порядке.
4.2. Угрозы безопасности информации М3 РТ
исходный класс защищенности - средний.
|
Наименование угрозы |
Вероятность реализации угрозы (Y2) |
Возможность реализации угрозы (Y) |
Опасность угрозы |
Актуальность угрозы |
Меры по противодействию угрозе |
|
|
Технические |
Организационные |
|||||
|
1. Угрозы от утечки по техническим каналам | ||||||
|
1.1. Угрозы утечки акустической информации |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Виброгенераоры, генераторы шумов, звукоизоляция. |
Инструкция пользователя |
|
Технологический процесс | ||||||
|
1.2. Угрозы утечки видовой информации |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Жалюзи на окна |
Пропускной режим |
|
Инструкция пользователя | ||||||
|
1.3. Угрозы утечки информации по каналам ПЭМИН |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Генераторы пространственного зашумления |
Технологический процесс обработки |
|
Генератор шума по цепи электропитания |
Контур заземления |
|||||
|
2. Угрозы несанкционированного доступа к информации | ||||||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн | ||||||
|
2.1.1. Кража ПЭВМ |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Охранная сигнализация |
Пропускной режим |
|
Решетки на окна |
Охрана |
|||||
|
Металлическая дверь |
Акт установки средств защиты |
|||||
|
Кодовый замок | ||||||
|
Шифрование данных | ||||||
|
2.1.2. Кража носителей информации |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Охранная сигнализация |
Акт установки средств защиты |
|
Хранение в сейфе |
Учет носителей информации |
|||||
|
Шифрование данных | ||||||
|
2.1.3. Кража ключей доступа |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Хранение в сейфе |
Инструкция пользователя |
|
Решетки на окна | ||||||
|
Металлическая дверь | ||||||
|
Кодовый замок | ||||||
|
Шифрование данных | ||||||
|
Система защиты от НСД | ||||||
|
2.1.4. Вывод из строя узлов ПЭВМ, каналов связи |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Охранная сигнализация |
Пропускной режим |
|
Решетки на окна |
Охрана |
|||||
|
Металлическая дверь | ||||||
|
Кодовый замок | ||||||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий); | ||||||
|
2.2.1. Действия вредоносных программ (вирусов) |
Низкая |
Средняя |
Средняя |
Актуальная |
Антивирусное ПО |
Инструкция пользователя |
|
Инструкция ответственного | ||||||
|
Инструкция администратора безопасности | ||||||
|
Технологический процесс обработки | ||||||
|
Инструкция по антивирусной защите | ||||||
|
Акт установки средств защиты | ||||||
|
2.2.2. Не декларированные возможности системного ПО и ПО для обработки персональных данных |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Сертификация |
|
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Настройка средств защиты |
Инструкция пользователя |
|
Инструкция администратора безопасности | ||||||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. | ||||||
|
2.3.1. Утрата ключей и атрибутов доступа |
Низкая |
Средняя |
Средняя |
Актуальная |
|
Инструкция пользователя |
|
Инструкция администратора безопасности | ||||||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Настройка средств защиты |
Резервное копирование |
|
2.3.4. Выход из строя аппаратно-программных средств |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Резервирование |
|
|
2.3.5. Сбой системы электроснабжения |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Использование источника бесперебойного электропитания |
Резервное копирование |
|
2.3.6. Стихийное бедствие |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Пожарная сигнализация |
|
|
2.4. Угрозы преднамеренных действий внутренних нарушителей | ||||||
|
2.4.1. Доступ к информации, модификация, уничтожение лицами не допущенных к ее обработке |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Система защиты от НСД |
Акт установки средств защиты |
|
Разрешительная система допуска | ||||||
|
Технологический процесс обработки | ||||||
|
| ||||||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке |
Низкая |
Средняя |
Низкая |
Неактуальная |
Договор о не разглашении |
|
|
Инструкция пользователя | ||||||
|
2.5. Угрозы несанкционированного доступа по каналам связи | ||||||
|
2.5.1. Угроза "Анализ сетевого трафика" с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||||||
|
2.5.1.1. Перехват за переделами с контролируемой зоны; |
Низкая |
Средняя |
Низкая |
Неактуальная |
Шифрование |
Технологический процесс |
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями; |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Шифрование |
Пропускной режим |
|
Физическая зашита канала связи |
Технологический процесс |
|||||
|
2.5.1.3. Перехват в пределах контролируемой зоны внутренними нарушителями. |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Шифрование |
Технологический процесс |
|
Физическая зашита канала связи | ||||||
|
2.5.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Межсетевой экран |
Технологический процесс |
|
Инструкция пользователя | ||||||
|
Инструкция администратора безопасности | ||||||
|
Акт установки средств защиты | ||||||
|
2.5.3. Угрозы выявления паролей по сети. |
Низкая |
Средняя |
Средняя |
Актуальная |
Межсетевой экран |
Технологический процесс |
|
Инструкция пользователя | ||||||
|
Инструкция администратора безопасности | ||||||
|
Акт установки средств защиты | ||||||
|
2.5.4. Угрозы навязывание ложного маршрута сети. |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Межсетевой экран |
Технологический процесс |
|
Инструкция пользователя | ||||||
|
Инструкция администратора безопасности | ||||||
|
Акт установки средств защиты | ||||||
|
2.5.5. Угрозы подмены доверенного объекта в сети. |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Межсетевой экран |
Технологический процесс |
|
Инструкция пользователя | ||||||
|
Инструкция администратора безопасности | ||||||
|
2.5.6. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях. |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Межсетевой экран |
Технологический процесс |
|
Инструкция пользователя | ||||||
|
Инструкция администратора безопасности | ||||||
|
Акт установки средств защиты | ||||||
|
2.5.7. Угрозы типа "Отказ в обслуживании". |
Маловероятно |
Низкая |
Низкая |
Неактуальная |
Межсетевой экран |
Технологический процесс |
|
Антивирусное ПО |
Инструкция пользователя |
|||||
|
Инструкция администратора безопасности | ||||||
|
Резервирование | ||||||
|
2.5.8. Угрозы удаленного запуска приложений. |
Низкая |
Средняя |
Низкая |
Неактуальная |
Межсетевой экран |
Технологический процесс |
|
Антивирусное ПО |
Инструкция пользователя |
|||||
|
Инструкция администратора безопасности | ||||||
|
2.5.9. Угрозы внедрения по сети вредоносных программ. |
Низкая |
Средняя |
Средняя |
Актуальная |
Антивирусное ПО |
Технологический процесс |
|
Инструкция пользователя | ||||||
|
Инструкция администратора безопасности | ||||||
|
Акт установки средств защиты | ||||||
Таким образом, актуальными угрозами безопасности ПДн в Автономной ИС II типа, являются:
- угрозы от действий вредоносных программ (вирусов);
- угрозы утраты ключей и атрибутов доступа;
- угрозы выявления паролей по сети;
- угрозы внедрения по сети вредоносных программ.
Рекомендуемыми мерами по предотвращению реализации актуальных угроз, являются:
- установка антивирусной защиты;
- парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;
- назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;
- инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн и в сетях общего пользования и (или) международного обмена, а так же с ключами и атрибутами доступа;
- убрать подключение элементов ИСПДн к сетям общего пользования и (или) международного обмена (сеть Интернет), если это не требуется для функционирования ИСПДн.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приказ Министерства здравоохранения Республики Тыва от 30 мая 2017 г. N 617 "Об утверждении модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерстве здравоохранения Республики Тыва"
Нормативные правовые акты Республики Тыва вступают в силу со дня их официального опубликования, если не установлен иной порядок вступления в силу
Текст приказа официально опубликован не был