Проект Приказа Фонда пенсионного и социального страхования Российской Федерации "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Фонда пенсионного и социального страхования Российской Федерации, эксплуатируемых при осуществлении Фондом пенсионного и социального страхования Российской Федерации функций, определенных законодательством Российской Федерации" (подготовлен Социальным фондом России 02.07.2024) (документ принят)

Проект Приказа Фонда пенсионного и социального страхования Российской Федерации "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Фонда пенсионного и социального страхования Российской Федерации, эксплуатируемых при осуществлении Фондом пенсионного и социального страхования Российской Федерации функций, определенных законодательством Российской Федерации"
(подготовлен Социальным фондом России 02.07.2024 г.)

Досье на проект

Пояснительная записка

В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 27 июня 2016 г. N 579 "Об осуществлении органами управления государственными внебюджетными фондами Российской Федерации функций и полномочий учредителей федеральных государственных учреждений" приказываю:

Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных Фонда пенсионного и социального страхования Российской Федерации, эксплуатируемых при осуществлении Фондом пенсионного и социального страхования Российской Федерации функций, определенных законодательством Российской Федерации, согласно приложению к настоящему приказу.

Председатель

С. Чирков

Приложение
к приказу
Фонда пенсионного и
социального страхования
Российской Федерации
от N

Угрозы безопасности персональных данных,
актуальные при обработке персональных данных в информационных системах персональных данных Фонда пенсионного и социального страхования Российской Федерации, эксплуатируемых при осуществлении Фондом пенсионного и социального страхования Российской Федерации функций, определенных законодательством Российской Федерации

1. Угрозами безопасности персональных данных, актуальными при обработке персональных данных в информационных системах персональных данных Фонда пенсионного и социального страхования Российской Федерации, эксплуатируемых при осуществлении Фондом пенсионного и социального страхования Российской Федерации функций, определенных законодательством Российской Федерации (далее - информационные системы), являются:

1.1. Угрозы безопасности персональных данных, защищаемых без использования средств криптографической защиты информации (далее - СКЗИ).

1.2. Угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого.

2. Угрозы безопасности персональных данных, защищаемых без использования СКЗИ, включают:

2.1. Угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации.

2.2. Угрозы несанкционированного доступа (воздействия) к персональным данным лиц, обладающих полномочиями в информационных системах, в том числе в ходе создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации информационных систем, и дальнейшего хранения содержащейся в базах данных информации.

2.3. Угрозы воздействия вредоносного кода и (или) вредоносной программы, внешних по отношению к информационным системам.

2.4. Угрозы использования методов воздействия на лиц, обладающих полномочиями в информационных системах.

2.5. Угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем.

2.6. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных.

2.7. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в программном обеспечении информационных систем.

2.8. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем.

2.9. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации.

2.10. Угрозы, связанные с возможностью использования информационных технологий.

3. Угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого включают:

3.1. Угрозы проведения атаки при нахождении лица вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона).

3.2. Угрозы проведения на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) атаки путем внесения несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ, которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ.

3.3. Угрозы проведения атак на этапе эксплуатации СКЗИ на:

а) ключевую, аутентифицирующую и парольную информацию СКЗИ;

б) программные компоненты СКЗИ;

в) аппаратные компоненты СКЗИ;

г) программные компоненты среды функционирования СКЗИ, включая базовую систему ввода (вывода);

д) аппаратные компоненты среды функционирования СКЗИ;

е) данные, передаваемые по каналам связи.

3.4. Угрозы получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационных системах, в которой используется СКЗИ:

а) общих сведений об информационных системах, в которых используются СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационных систем);

б) сведений об информационных технологиях, базах данных, аппаратных средствах, программном обеспечении, используемых в информационных системах совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторских документах на информационные технологии, базы данных, аппаратные средства, программное обеспечение, используемые в информационных системах совместно с СКЗИ;

в) содержания находящихся в свободном доступе документов на аппаратные и программные компоненты СКЗИ и среду функционирования СКЗИ;

г) общих сведений о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

д) сведений о каналах связи, по которым передаются защищаемые СКЗИ персональные данные;

е) сведений, получаемых в результате анализа сигналов от аппаратных компонентов СКЗИ и среды функционирования СКЗИ.

3.5. Угрозы применения специально разработанных аппаратных средств и программного обеспечения.

3.6. Угрозы использования на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки каналов распространения сигналов, сопровождающих функционирование СКЗИ и среды функционирования СКЗИ.

3.7. Угрозы проведения атаки при нахождении в пределах контролируемой зоны.

3.8. Угрозы несанкционированного доступа на этапе эксплуатации СКЗИ на объекты:

а) документов на СКЗИ и компоненты среды функционирования СКЗИ;

б) помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и среда функционирования СКЗИ.

3.9. Угрозы получения в рамках предоставленных полномочий, а также в результате наблюдений:

а) сведений о физических мерах защиты объектов, в которых размещены ресурсы информационных систем;

б) сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационных систем;

в) сведений о мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники, на которых реализованы СКЗИ и среда функционирования СКЗИ.

3.10. Угрозы физического доступа к средствам вычислительной техники, на которых реализованы СКЗИ и среда функционирования СКЗИ.