ФЕДЕРАЛЬНАЯ АНТИМОНОПОЛЬНАЯ СЛУЖБА
ПРИКАЗ
от 16 января 2018 г. N 43/18
ОБ ОПРЕДЕЛЕНИИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ФЕДЕРАЛЬНОЙ
АНТИМОНОПОЛЬНОЙ СЛУЖБЫ И ПОДВЕДОМСТВЕННЫХ ЕЙ УЧРЕЖДЕНИЯХ
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. 1), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. 1), ст. 6439; 2010, N 27, ст. 3407, N 31, ст. 4173, ст. 4196, N 49, ст. 6409, N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263, N 31, ст. 4701; 2013, N 14, ст. 1651, N 30 (ч. 1), ст. 4038, N 51, ст. 6683; 2014, N 23, ст. 2927, N 30 (ч. 1), ст. 4217, ст. 4243; 2016, N 27 (ч. 1), ст. 4164; 2017, N 9, ст. 1276) с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Федеральной антимонопольной службы и подведомственных ей учреждениях приказываю:
1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных Федеральной антимонопольной службы и подведомственных ей учреждениях в соответствии с приложением к настоящему приказу.
2. Контроль за исполнением настоящего приказа возложить на заместителя руководителя ФАС России А.В. Доценко.
Руководитель
И.Ю.АРТЕМЬЕВ
Приложение
к приказу ФАС России
от 16 января 2018 г. N 43/18
УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФЕДЕРАЛЬНОЙ АНТИМОНОПОЛЬНОЙ СЛУЖБЫ
И ПОДВЕДОМСТВЕННЫХ ЕЙ УЧРЕЖДЕНИЯХ
1. Угрозами безопасности персональных данных, актуальными при обработке персональных данных в информационных системах персональных данных Федеральной антимонопольной службы и подведомственных ей учреждениях, являются:
угрозы безопасности персональных данных, защищаемых без использования средств криптографической защиты информации (далее - СКЗИ);
угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого < 1 > .
< 1 > Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утверждены приказом ФСБ России от 10.07.2014 N 378 (зарегистрирован Минюстом России 18.08.2014, регистрационный N 33620).
2. Угрозы безопасности персональных данных, защищаемых без использования СКЗИ, включают:
2.1. Угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
2.2. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в информационных системах, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационных систем;
2.3. Угрозы воздействия вредоносного кода, вредоносной программы, внешних по отношению к информационным системам;
2.4. Угрозы использования методов социального инжиниринга < 2 > к лицам, обладающим полномочиями в информационных системах;
< 2 > Метод (угроза) управления действиями человека без использования технических средств и основан на использовании слабостей человеческого фактора.
2.5. Угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем;
2.6. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;
2.7. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в системном и прикладном программном обеспечении информационных систем;
2.8. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, в том числе с использованием протоколов межсетевого взаимодействия;
2.9. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;
2.10. Угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;
2.11. Угрозы, связанные с возможностью использования новых информационных технологий (технологии виртуализации, беспроводные технологии, облачные технологии, технологии удаленного доступа и иные новые технологии).
3. Угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого включают:
3.1. Угрозы проведения атаки при нахождении вне контролируемой зоны;
3.2. Угрозы проведения на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) атаки путем внесения несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ, которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
3.3. Угрозы проведения атак на этапе эксплуатации СКЗИ на:
а) ключевую, аутентифицирующую и парольную информацию СКЗИ;
б) программные компоненты СКЗИ;
в) аппаратные компонента СКЗИ;
г) программные компоненты среды функционирования СКЗИ, включая базовую систему ввода (вывода) (BIOS);
д) аппаратные компоненты среды функционирования СКЗИ;
е) данные, передаваемые по каналам связи;
3.4. Угрозы получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационных системах, в которых используются СКЗИ:
а) общих сведений об информационных системах, в которых используются СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационных систем);
б) сведений об информационных технологиях, базах данных, аппаратных средствах, программном обеспечении, используемых в информационных системах совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, аппаратные средства, программное обеспечение, используемые в информационных системах совместно с СКЗИ;
в) содержания находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и среды функционирования СКЗИ;
г) общих сведений о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
д) сведений о каналах связи, по которым передаются защищаемые СКЗИ персональные данные;
е) сведений, получаемых в результате анализа любых сигналов от аппаратных компонентов СКЗИ и среды функционирования СКЗИ;
3.5. Угрозы применения специально разработанных аппаратных средств и программного обеспечения;
3.6. Угрозы использования на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки каналов распространения сигналов, сопровождающих функционирование СКЗИ и среды функционирования СКЗИ;
3.7. Угрозы проведения атаки при нахождении в пределах контролируемой зоны;
3.8. Угрозы проведения атак на этапе эксплуатации СКЗИ на объекты:
а) документацию на СКЗИ и компоненты среды функционирования СКЗИ;
б) помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и среды функционирования СКЗИ;
3.9. Угрозы получения в рамках предоставленных полномочий, а также в результате наблюдений:
а) сведений о физических мерах защиты объектов, в которых размещены ресурсы информационных систем;
б) сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационных систем;
в) сведений о мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники, на которых реализованы СКЗИ и среды функционирования СКЗИ;
3.10. Угрозы физического доступа к средствам вычислительной техники, на которых реализованы СКЗИ.