Указ Губернатора Омской области от 01.02.2017 № 10

УКАЗ

 

ГУБЕРНАТОРАОМСКОЙ ОБЛАСТИ

 

от 1февраля 2017 года N 10

г.Омск

 

Оботдельных мерах по обеспечению безопасности

персональныхданных при их обработке

 

Всоответствии с частью 5 статьи 19 Федерального закона "О персональныхданных" постановляю:

Утвердитьприлагаемый Перечень угроз безопасности персональных данных, актуальных приобработке персональных данных в информационных системах персональных данныхорганов исполнительной власти Омской области, эксплуатируемых при осуществлениисоответствующих видов деятельности, с учетом содержания персональных данных,характера и способов их обработки.

 

ГубернаторОмской области                                       В.И.Назаров

 

 

 

Приложение

к Указу Губернатора Омской области

от 1 февраля 2017 года N 10

 

ПЕРЕЧЕНЬ

угрозбезопасности персональных данных, актуальных

приобработке персональных данных в информационных

системахперсональных данных органов исполнительной

властиОмской области, эксплуатируемых при осуществлении

соответствующихвидов деятельности, с учетом содержания

персональныхданных, характера и способов их обработки

 

1.Угрозы утечки информации по техническим каналам (в том числе угрозы утечкивидовой информации).

2.Угрозы несанкционированного доступа к информации:

1)угрозы доступности и целостности информации из-за сбоев в программномобеспечении, выхода из строя технических средств, на которых размещаетсяинформационная система персональных данных (далее - ИСПДн);

2) угрозы, реализуемые после загрузкиоперационной системы и направленные на выполнение несанкционированного доступас применением стандартных функций (уничтожение, копирование, перемещение,форматирование носителей информации и т.п.) операционной системы или какой-либоприкладной программы (например, системы управления базами данных), сприменением специально созданных для выполнения несанкционированного доступапрограмм (программ просмотра и модификации реестра, поиска текстов в текстовыхфайлах и т.п.);

3)угрозы безопасности персональных данных, реализуемые с использованиемпротоколов межсетевого взаимодействия:

-угрозы типа "Анализ сетевого трафика" с перехватом передаваемой из ИСПДн и принимаемой ИСПДн извнешних сетей информации, а также передаваемой по локальной сети информации;

-угрозы сканирования, направленные на выявление типа или типов используемых операционныхсистем, сетевых адресов рабочих станций ИСПДн,топологии сети, открытых портов и служб, открытых соединений;

-угрозы внедрения ложного объекта как в ИСПДн, так иво внешних сетях;

-угрозы подмены доверенного объекта;

-угрозы навязывания ложного маршрута путем несанкционированного изменениямаршрутно-адресных данных как внутри локальной сети, так и во внешних сетях;

-угрозы выявления паролей;

-угрозы типа "Отказ в обслуживании";

-угрозы удаленного запуска приложений;

4)угрозы несанкционированного доступа к информации при использовании средывиртуализации в ИСПДн;

5)угрозы, связанные с непреднамеренными действиями пользователей и нарушениямибезопасности функционирования ИСПДн и системы защитыперсональных данных в ее составе из-за сбоев в программном обеспечении;

6)угрозы, связанные с преднамеренными действиями внутренних нарушителей.

Примечание.В связи с наличием при обработке персональных данных в ИСПДн органов исполнительной власти Омской областиактуальных угроз безопасности, которые могут быть нейтрализованы только спомощью средств криптографической защиты информации, органам исполнительнойвласти Омской области, являющимся операторами ИСПДн,необходимо руководствоваться при разработке частных моделей угроз безопасностиперсональных данных для имеющихся ИСПДн положениямиМетодических рекомендаций по разработке нормативных правовых актов,определяющих угрозы безопасности персональных данных, актуальные приобработке персональных данных в ИСПДн,эксплуатируемых при осуществлении соответствующих видов деятельности,утвержденных Федеральной службой безопасности Российской Федерации 31 марта2015 года N 149/7/2/6-432.