Угрозы безопасности персональных данных, актуальных
при обработке персональных данных в информационных системах
персональных данных, эксплуатируемых при осуществлении Министерством здравоохранения Российской Федерации функций, определенных законодательством Российской Федерации
1. Угрозы безопасности персональных данных (далее – угрозы), защищаемых без использования средств криптографической защиты информации (далее – СКЗИ):
1.1. угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
1.2. угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных;
1.3. угрозы воздействия вредоносного кода и (или) вредоносной программы, внешних по отношению к информационным системам обработки персональных данных (далее – ИСПДн);
1.4. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в ИСПДн, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации ИСПДн;
1.5. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;
1.6. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в системном и прикладном программном обеспечении информационных систем;
1.7. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
1.8. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;
1.9. угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;
1.10. угрозы, связанные с возможностью использования новых информационных технологий.
2. Угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого:
2.1. угрозы проведения атаки при нахождении вне контролируемой зоны;
2.2. угрозы проведения атак на этапе эксплуатации СКЗИ на:
2.2.1. ключевую, аутентифицирующую и парольную информацию СКЗИ;
2.2.2. программные компоненты СКЗИ;
2.2.3. данные, передаваемые по каналам связи;
2.3. угрозы получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об информационных системах, в которых используются СКЗИ:
2.3.1. сведений о протоколе взаимодействии ИСПДн и СКЗИ;
2.3.2. содержания находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и среду функционирования СКЗИ;
2.3.3. общих сведений о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
2.3.4. сведений о каналах связи, по которым передаются защищаемые СКЗИ персональные данные;
2.3.5. сведений, получаемых в результате анализа любых сигналов от аппаратных компонентов СКЗИ и среду функционирования СКЗИ;
2.4. угрозы применения специально разработанных аппаратных средств и программного обеспечения;
2.5. угрозы получения в рамках предоставленных полномочий, а также в результате наблюдений:
2.5.1. сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн;
2.5.2. сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн;
2.5.3. сведений о мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники, на которых реализованы СКЗИ и среду функционирования СКЗИ.
СПРАВКА
к приказу Министерства здравоохранения Российской Федерации
«Об определении угроз безопасности персональных данных, актуальных
при обработке персональных данных в информационных системах
персональных данных, эксплуатируемых при осуществлении
Министерством здравоохранения Российской Федерации функций, определенных законодательством Российской Федерации
Приказ Министерства здравоохранения Российской Федерации
«Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Министерством здравоохранения Российской Федерации функций, определенных законодательством Российской Федерации» (далее – Приказ) разработан в соответствии с частью 5 статьи 19 Федерального закона от 27.06.2006
№ 152-ФЗ «О персональных данных».
Приведение в соответствии с Приказом иных нормативных правовых актов не требуется.
Требуется согласование Приказа с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации.
Во исполнение пункта 4.1 Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации, утвержденных постановлением Правительства Российской Федерации от 13 августа 1997 г. № 1009 (Собрание законодательства Российской Федерации, 1997, № 33, ст. 3895), и в соответствии с постановлением Правительства Российской Федерации от 26 февраля 2010 г. № 96 «Об утверждении Правил проведения антикоррупционной экспертизы нормативных правовых актов и проектов нормативных правовых актов» (Собрание законодательства Российской Федерации, 2010, № 10, ст. 1084) проект Приказа должен быть размещен на официальном сайте regulation.gov.ru в информационно-телекоммуникационной сети «Интернет».
Основания для направления Приказа на заключение об оценке регулирующего воздействия отсутствуют.
В соответствии с постановлением Правительства Российской Федерации от 1 сентября 2012 г. № 877 «Об утверждении состава нормативных правовых актов и иных документов, включая программные, разрабатываемых федеральными органами исполнительной власти, которые не могут быть приняты без предварительного обсуждения на заседаниях общественных советов при этих федеральных органах исполнительной власти (Собрание законодательства Российской Федерации, 2012, № 37, ст. 4997) необходимость для проведения общественного обсуждения Приказа на заседании Общественного Совета при Минздраве России отсутствует.
Приказ не устанавливает обязательные требования, оценка соблюдения которых осуществляется в рамках государственного контроля (надзора), муниципального контроля, при рассмотрении дел об административных правонарушениях, или обязательных требований, соответствие которым проверяется при выдаче разрешений, лицензий, аттестатов аккредитации, иных документов, имеющих разрешительный характер, соответствующих виде государственного контроля (надзора), муниципального контроля, виде разрешительной деятельности и предполагаемая ответственность за их нарушение или последствия несоблюдения.
Основания для проведения педагогической экспертизы Приказа отсутствовали.
В связи с отсутствием требований к измерениям, стандартным образцам и средствам измерений в Приказе основания для проведения обязательной метрологической экспертизы отсутствовали.
Комментарии (0)
Зарегистрируйтесь, чтобы добавить комментарий