Проект Приказа Министерства здравоохранения РФ "Об определении угроз безопасности персональных данных, актуальныхпри обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществленииМинистерством здравоохранения Российской Федерации функций, определенных законодательством Российской Федерации" (подготовлен Минздравом России 08.05.2020)

Проект Приказа Министерства здравоохранения РФ "Об определении угроз безопасности персональных данных, актуальныхпри обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществленииМинистерством здравоохранения Российской Федерации функций, определенных законодательством Российской Федерации"
(подготовлен Минздравом России 08.05.2020 г.)

Досье на проект

Пояснительная записка

В соответствии с частью 5 статьи 19 Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2011, N 31, ст. 4701), приказываю:

1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Министерством здравоохранения Российской Федерации функций, определенных законодательством Российской Федерации (далее соответственно - Угрозы, информационные системы), согласно приложению.

2. Организациям, подведомственным Министерству здравоохранения Российской Федерации, при определении угроз безопасности персональных данных при их обработке в информационных системах руководствоваться Угрозами с учетом структурно-функциональных характеристик информационных систем.

3. Контроль за исполнением настоящего приказа возложить на заместителя Министра здравоохранения Российской Федерации П.С. Пугачева.

Министр

М.А. Мурашко

Приложение
к приказу Министерства здравоохранения
Российской Федерации
от ___ _______ 2020 N ____

Угрозы
безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Министерством здравоохранения Российской Федерации функций, определенных законодательством Российской Федерации

1. Угрозы безопасности персональных данных (далее - угрозы), защищаемых без использования средств криптографической защиты информации (далее - СКЗИ):

1.1. угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;

1.2. угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных;

1.3. угрозы воздействия вредоносного кода и (или) вредоносной программы, внешних по отношению к информационным системам обработки персональных данных (далее - ИСПДн);

1.4. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в ИСПДн, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации ИСПДн;

1.5. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;

1.6. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в системном и прикладном программном обеспечении информационных систем;

1.7. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;

1.8. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;

1.9. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;

1.10. угрозы, связанные с возможностью использования новых информационных технологий.

2. Угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого:

2.1. угрозы проведения атаки при нахождении вне контролируемой зоны;

2.2. угрозы проведения атак на этапе эксплуатации СКЗИ на:

2.2.1. ключевую, аутентифицирующую и парольную информацию СКЗИ;

2.2.2. программные компоненты СКЗИ;

2.2.3. данные, передаваемые по каналам связи;

2.3. угрозы получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационных системах, в которых используются СКЗИ:

2.3.1. сведений о протоколе взаимодействии ИСПДн и СКЗИ;

2.3.2. содержания находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и среду функционирования СКЗИ;

2.3.3. общих сведений о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

2.3.4. сведений о каналах связи, по которым передаются защищаемые СКЗИ персональные данные;

2.3.5. сведений, получаемых в результате анализа любых сигналов от аппаратных компонентов СКЗИ и среду функционирования СКЗИ;

2.4. угрозы применения специально разработанных аппаратных средств и программного обеспечения;

2.5. угрозы получения в рамках предоставленных полномочий, а также в результате наблюдений:

2.5.1. сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн;

2.5.2. сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн;

2.5.3. сведений о мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники, на которых реализованы СКЗИ и среду функционирования СКЗИ.