Постановление Правительства Оренбургской области от 28.06.2019 № 418-пп

Об утверждении положения об угрозах безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных органов исполнительной власти Оренбургской области

Приложение

ПРАВИТЕЛЬСТВООРЕНБУРГСКОЙ ОБЛАСТИ

ПО С Т А Н О В Л Е Н И Е

28.06.2019 г.Оренбург № 418-пп

Обутверждении положения об угрозах безопасности

персональныхданных, актуальных при обработке персональных

данныхв информационных системах персональных данных

органовисполнительной власти Оренбургской области

В соответствии с частью 5 статьи 19 Федерального законаот 27 июля 2006 года № 152-ФЗ «О персональных данных» и в целяхобеспечения единого подхода к определению угроз безопасности, актуальных приобработке персональных данных в информационных системах органов исполнительнойвласти Оренбургской области, Правительство Оренбургской области

п о с т а н о в л я е т:

1. Утвердить положение об угрозах безопасности персональныхданных, актуальных при обработке персональных данных в информационных системахперсональных данных органов исполнительной власти Оренбургской области (далее –положение), согласно приложению.

2. Органам исполнительной власти Оренбургской области присоставлении частных моделей угроз руководствоваться положением.

3. Рекомендовать органам местного самоуправлениямуниципальных образований Оренбургской области при составлении частных моделейугроз руководствоваться положением.

4. Контроль за исполнением настоящего постановления возложитьна директора департамента информационных технологий Оренбургской области.

5. Постановление вступает в силу после его официальногоопубликования.

Временно исполняющий

обязанности Губернатора Д.В.Паслер

Приложение

кпостановлению

Правительстваобласти

от 28.06.2019№ 418-пп

Положение

обугрозах безопасности персональных данных, актуальных при обработке персональныхданных в информационных системах персональных данных органов исполнительнойвласти Оренбургской области

I.Общие положения

1. Настоящее Положение определяет угрозы безопасностиперсональных данных, актуальные при обработке персональных данных винформационных системах персональных данных, владельцами и операторами которыхявляются органы исполнительной власти Оренбургской области, государственныеучреждения и предприятия Оренбургской области (далее – органы власти иорганизации).

2. При определении угроз безопасности персональных данных,актуальных для конкретной информационной системы персональных данных, следуетпроводить анализ угроз безопасности информации и уязвимостей программногообеспечения с учетом угроз и уязвимостей, содержащихся в банке данных угроз безопасностиинформации Федеральной службы по техническому и экспортному контролюbdu.fstec.ru в информационно-телекоммуникационной сети «Интернет».

3. Органами власти и организациями в целях реализацииполномочий и осуществления функций обрабатываются все категории персональныхданных. Состав персональных данных, подлежащих обработке в конкретнойинформационной системе персональных данных, цели такой обработки, действия(операции), совершаемые с персональными данными в информационных системахперсональных данных, определяются оператором информационных систем персональныхданных.

II.Участники взаимодействия и сети передачи данных

4. Контролируемой зоной информационных систем персональныхданных являются здания и отдельные помещения, принадлежащие органам власти иорганизациям или арендуемые ими (далее – контролируемая зона). Все средствавычислительной техники, участвующие в обработке персональных данных,располагаются в пределах контролируемой зоны. Вне контролируемой зоны находятсялинии передачи данных и телекоммуникационное оборудование оператора связи(провайдера), используемые для информационного обмена по сетям связи общегопользования (сетям международного информационного обмена).

5. Локальные вычислительные сети передачи данных в органахвласти и организациях организованы по топологии «звезда» и имеют подключения кследующим сетям:

1) внешние сети (сети провайдера). Подключение к внешнимсетям (сетям провайдера) организовано посредством следующих типов каналовсвязи:

оптоволоконные каналы связи операторов связи (провайдеров);

проводные каналы связи операторов связи (провайдеров);

2) сети органов власти и организаций, организаций(предприятий, учреждений), расположенных на территории Российской Федерации.Подключение к таким сетям осуществляется в соответствии с разработаннымирегламентами взаимодействия. Органы власти и организации подключены к единойинформационно-телекоммуникационной сети посредством защищенных каналовсвязи;

3) иные сети, взаимодействие с которыми организовано органамивласти и организациями с целью реализации своих полномочий.

6. Подключение к сетям связи общего пользованияосуществляется органами власти и организациями с применением средствкриптографической защиты информации.

III. Объекты защиты итехнологии обработки персональных данных в информационных системах персональныхданных

7. При определении органами власти и организациями угрозбезопасности персональных данных в конкретной информационной системеперсональных данных защите подлежат следующие объекты, входящие в информационныесистемы персональных данных:

персональные данные, обрабатываемые в информационных системахперсональных данных;

информационные ресурсы информационных систем персональныхданных (файлы, базы данных и другое);

средства вычислительной техники, участвующие в обработкеперсональных данных посредством информационных систем персональных данных;

средства криптографической защиты информации и средствазащиты информации;

среда функционирования средств криптографической защитыинформации;

информация, относящаяся к криптографической защитеперсональных данных, в том числе ключевая, парольная и аутентифицирующаяинформация средств криптографической защиты информации;

документы, дела, журналы, картотеки, издания, техническиедокументы, видео-, кино- и фотоматериалы, рабочие и другие материалы,отражающие защищаемую информацию, относящуюся к информационным системамперсональных данных и их криптографической защите, включая документацию насредства криптографической защиты информации, технические и программные компонентысреды функционирования средств криптографической защиты информации;

носители защищаемой информации, используемые в информационныхсистемах персональных данных, в том числе в процессе криптографической защитыперсональных данных, носители ключевой, парольной и аутентифицирующейинформации средств криптографической защиты информации и порядок доступа к ним;

каналы (линии) связи, включая кабельные системы, используемыеинформационными системами персональных данных;

сети передачи данных, не выходящие за пределы контролируемойзоны информационной системы персональных данных;

помещения, в которых обрабатываются персональные данныепосредством информационных систем персональных данных и располагаютсякомпоненты информационной системы персональных данных;

помещения, в которых расположены ресурсы информационныхсистем персональных данных, имеющие отношение к криптографической защитеперсональных данных.

8. К средствам вычислительной техники, участвующей вобработке персональных данных посредством информационных систем персональныхданных, относятся:

автоматизированные рабочие места пользователей с различнымиуровнями доступа (правами) – программно-аппаратный комплекс, позволяющийосуществлять доступ пользователей к информационной системе персональных данныхи предназначенный для локальной обработки информации;

терминальная станция – программно-аппаратный комплекс,позволяющий осуществлять доступ пользователей к информационной системеперсональных данных, но не предназначенный для локальной обработки информации;

серверное оборудование – программно-аппаратный комплекс,предназначенный для обработки и консолидированного хранения данныхинформационных систем персональных данных. Серверное оборудование может бытьпредставлено автоматизированными рабочими местами пользователей, выполняющимифункции сервера;

сетевое и телекоммуникационное оборудование, используемое дляинформационного обмена между серверным оборудованием, автоматизированнымрабочим местом пользователя, терминальными станциями (коммутаторы,маршрутизаторы и другое);

общесистемное программное обеспечение (операционные системыфизических серверов, виртуальных серверов, автоматизированных рабочих мест).

9. Ввод персональных данных в информационные системыперсональных данных в органах власти и организациях осуществляется как сбумажных, так и с электронных носителей информации. Персональные данныехранятся и (или) передаются третьим лицам как в электронном, так и в бумажномвиде.

IV. Информационные системы персональных данных

10. С целью реализации полномочий и осуществления функцийорганами власти и организациями обрабатываются все категории персональныхданных. Состав персональных данных, подлежащих обработке в конкретнойинформационной системе персональных данных, цели обработки, действия(операции), совершаемые с персональными данными в информационной системеперсональных данных, определяются владельцем или оператором информационнойсистемы персональных данных.

11. Обработка персональных данных в информационной системеперсональных данных осуществляется с соблюдением принципов и правил,предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ«О персональных данных». Перечень обрабатываемых персональных данных винформационной системе персональных данных соответствует целям их обработки ине является избыточным.

12. Информационные системы персональных данных подразделяютсяна:

информационные системы персональных данных, операторамикоторых являются органы власти и организации;

информационные системы персональных данных, эксплуатируемыеорганами власти и организациями, но не в качестве их операторов.

13. В зависимости от технологии обработки персональныхданных, целей и состава персональных данных информационные системы персональныхданных подразделяются на:

информационно-справочные;

сегментные;

внутриобластные;

ведомственные;

служебные.

14. Для всех категорий персональных данных информационныхсистем персональных данных, указанных в пунктах 12, 13 настоящего Положения,необходимо обеспечивать следующие характеристики безопасности:

конфиденциальность;

целостность;

доступность;

подлинность.

При этом должна сохраняться возможность модификации ипередачи персональных данных.

15. Информационно-справочные информационные системыперсональных данных используются для официального доведения любой информации доопределенного или неопределенного круга лиц, при этом факт доведения такойинформации не порождает правовых последствий, однако может являтьсяобязательным согласно законодательству Российской Федерации.

15.1. К основным информационно-справочным информационнымсистемам персональных данных относятся:

«Официальные порталы (сайты) органов власти и организаций»;

«Информационные порталы (сайты), которые ведутся конкретныморганом власти и организацией и посвящаются определенному проекту и (или)мероприятию, проводимому на территории Оренбургской области» (далее –«Информационные порталы (сайты)»;

«Закрытые порталы для нескольких групп участников органоввласти и организаций»;

«Специализированная информационная система «Порталгосударственных услуг Оренбургской области».

15.2. Информационно-справочные информационные системыперсональных данных «Официальные порталы (сайты) органов власти и организаций»содержат сведения о деятельности органов власти и организаций, в том числесведения, подлежащие обязательному опубликованию в соответствии сзаконодательством Российской Федерации и Оренбургской области.

К категориям персональных данных, которые могут подлежатьобработке в информационных системах персональных данных «Официальные порталы(сайты) органов власти и организаций», относятся:

общедоступные;

иные.

Режим обработки персональных данных в информационных системахперсональных данных «Официальные порталы (сайты) органов власти и организаций»является многопользовательским, то есть данная информационная система персональныхданных предусматривает разграничение доступа. Обработка персональных данныхосуществляется посредством веб-интерфейса сотрудниками органов власти иорганизаций, являющихся операторами информационной системы персональных данных«Официальные порталы (сайты) органов власти и организаций», и гражданами всехстран мира. Персональные данные хранятся в базе данных информационной системыперсональных данных «Официальные порталы (сайты) органов власти и организаций»и отображаются по запросу соответствующей страницы данной информационнойсистемы персональных данных пользователям в соответствии с предоставленнымиправами.

Типами субъектов персональных данных, которые могут подлежатьобработке в информационных системах персональных данных «Официальные порталы(сайты) органов власти и организаций», являются сотрудники органов власти иорганизаций, являющихся операторами данной информационной системы персональныхданных, и граждане всех стран мира.

Структура информационных систем персональных данных«Официальные порталы (сайты) органов власти и организаций» – локальная,функционирующая в контролируемой зоне органа власти и организации, и (или) насерверном оборудовании иного органа власти и организации в пределах ихконтролируемых зон, и (или) на вычислительных ресурсах «облачного» провайдера.

Информационные системы персональных данных «Официальныепорталы (сайты) органов власти и организаций» подключены к сетям связи общегопользования (сетям международного информационного обмена). По типу подключенияданные информационные системы персональных данных делятся на:

подключенные посредством единойинформационно-телекоммуни-кационной сети;

подключенные с использованием иных каналов связи.

Средствами вычислительной техники, участвующими в обработкеинформации, являются автоматизированные рабочие места пользователей, серверноеоборудование, сетевое и телекоммуникационное оборудование.

Уровень защищенности информационных систем персональныхданных «Официальные порталы (сайты) органов власти и организаций» – четвертый.

15.3. Информационно-справочные информационные системыперсональных данных «Информационные порталы (сайты)» содержат сведения омероприятиях, проводимых органами власти и организациями в соответствии с ихфункциями и полномочиями.

К категориям персональных данных, которые могут подлежатьобработке в информационных системах персональных данных «Информационные порталы(сайты)», относятся:

общедоступные;

иные.

Режим обработки персональных данных в информационных системахперсональных данных «Информационные порталы (сайты)» являетсямногопользовательским, то есть, данные информационные системы персональныхданных предусматривают разграничение доступа. Обработка персональных данныхосуществляется посредством веб-интерфейса сотрудниками органов власти и организаций,являющихся операторами информационных систем персональных данных«Информационные порталы (сайты)», и гражданами всех стран мира. Персональныеданные хранятся в базе данных информационных систем персональных данных«Информационные порталы (сайты)» и отображаются по запросу соответствующейстраницы информационной системы персональных данных пользователям всоответствии с предоставленными правами.

Типами субъектов персональных данных, которые могут подлежатьобработке в информационных системах персональных данных «Информационные порталы(сайты)», являются сотрудники органов власти и организаций, являющихсяоператорами данных информационных систем персональных данных, и граждане всехстран мира.

Структура информационных систем персональных данных«Информационные порталы (сайты)» – локальная, функционирующая в контролируемойзоне органа власти и организации, и (или) на серверном оборудовании иногооргана власти и организации в пределах их контролируемой зоны, и (или) навычислительных ресурсах «облачного» провайдера.

Информационные системы персональных данных «Информационныепорталы (сайты)» подключены к сетям связи общего пользования (сетяммеждународного информационного обмена). По типу подключения данныеинформационные системы персональных данных делятся на подключенные посредством:

единой информационно-телекоммуникационной сети;

иных каналов связи.

Уровень защищенности информационно-справочных системперсональных данных «Информационные порталы (сайты)» – четвертый.

15.4. Информационно-справочные информационные системыперсональных данных «Закрытые порталы для нескольких групп участников органоввласти и организаций» содержат сведения, предоставляемые ограниченному круг лициз числа органов власти и организаций в соответствии с функциями и полномочиямиорганов власти и организаций.

К категориям персональных данных, которые могут подлежатьобработке в информационных системах персональных данных «Закрытые порталы длянескольких групп участников органов власти и организаций», относятся:

общедоступные;

иные.

Режим обработки персональных данных в информационных системахперсональных данных «Закрытые порталы для нескольких групп участников органоввласти и организаций» является многопользовательским, то есть данныеинформационные системы персональных данных предусматривают разграничениедоступа. Обработка персональных данных осуществляется сотрудниками органоввласти и организаций посредством веб-интерфейса в соответствии спредоставленными правами. Персональные данные хранятся в базе данныхинформационных систем персональных данных и отображаются по запросу соответствующейстраницы информационной системы персональных данных пользователям всоответствии с предоставленными правами.

Типами субъектов персональных данных, которые могут подлежатьобработке в информационных системах персональных данных «Закрытые порталы длянескольких групп участников органов власти и организаций», являются сотрудникиорганов власти и организаций.

Структура информационной системы персональных данных«Закрытые порталы для нескольких групп участников органов власти и организаций»– локальная, функционирующая в контролируемых зонах органа власти иорганизации, и (или) на серверном оборудовании иного органа власти иорганизации в пределах их контролируемых зон, и (или) на вычислительныхресурсах «облачного» провайдера.

Информационные системы персональных данных «Закрытые порталыдля нескольких групп участников органов власти и организаций» подключены ксетям связи общего пользования (сетям международного информационного обмена).По типу подключения информационные системы персональных данных «Закрытыепорталы для нескольких групп участников органов власти и организаций» делятсяна подключенные посредством:

единой информационно-телекоммуникационной сети;

иных каналов связи.

Уровни защищенности информационных систем персональных данных«Закрытые порталы для нескольких групп участников органов власти и организаций»– третий, четвертый.

15.5. Информационно-справочная информационная системаперсональных данных «Специализированная информационная система «Порталгосударственных услуг Оренбургской области» содержит социально значимуюинформацию и сведения, необходимые для получения гражданами государственных имуниципальных услуг в электронном виде.

К категориям персональных данных, которые могут подлежатьобработке в информационной системе персональных данных «Специализированнаяинформационная система «Портал государственных услуг Оренбургской области»,относятся:

общедоступные;

иные.

Режим обработки персональных данных в информационной системеперсональных данных «Специализированная информационная система «Порталгосударственных услуг Оренбургской области» является многопользовательским, тоесть данная информационная система персональных данных предусматриваетразграничение доступа. Обработка персональных данных осуществляется всоответствии с предоставленными правами сотрудниками органов власти иорганизаций и гражданами всех стран мира в режиме веб-интерфейса.

Персональные данные обрабатываются в деперсонифицированном(обезличенном) виде. Запрашиваемые данные не позволяют однозначноидентифицировать субъект персональных данных без использования сторонних базданных. После получения запрашиваемых данных информационная системаперсональных данных «Специализированная информационная система «Порталгосударственных услуг Оренбургской области» для получения ответа на запроссубъекта персональных данных передает его данные по закрытым каналам связи винформационные системы персональных данных иных органов власти и организаций, вчью компетенцию входит предоставление информации по запросу субъекта. Ответ назапрос (сведения о ходе исполнения запроса) субъекта отображается в даннойинформационной системе персональных данных.

Типами субъектов персональных данных, которые могут подлежатьобработке в информационной системе персональных данных «Специализированнаяинформационная система «Портал государственных услуг Оренбургской области»,являются сотрудники органов власти и организаций, являющихся операторами даннойинформационной системы персональных данных, и граждане всех стран мира.

Структура информационной системы персональных данных«Специализированная информационная система «Портал государственных услугОренбургской области» – локальная, функционирующая в контролируемых зонахоргана власти и организации, и (или) на серверном оборудовании иного органавласти и организации в пределах их контролируемых зон, и (или) на вычислительныхресурсах «облачного» провайдера.

Информационная система персональных данных«Специализированная информационная система «Портал государственных услугОренбургской области» подключена к сетям связи общего пользования (сетяммеждународного информационного обмена). Существует два типа подключения даннойинформационной системы персональных данных к сетям связи общего пользования:

посредством единой информационно-телекоммуникационнойсети;

посредством иных каналов связи.

Уровни защищенности информационной системы персональныхданных «Специализированная информационная система «Портал государственных услугОренбургской области» – второй, третий, четвертый.

16. Сегментные информационные системы персональных данныхпредставляют собой сегменты федеральных информационных систем, создаются иэксплуатируются в Оренбургской области на основании рекомендаций (правовых,организационных, технических), предоставляемых владельцами данныхинформационных систем персональных данных (федеральными органамигосударственной власти), и используются для сбора, обработки, свода данных поОренбургской области и передачи их в федеральные органы государственной властии наоборот, при этом цели и задачи создания (модернизации), эксплуатациисегментных информационных систем персональных данных определяются федеральнымиорганами государственной власти. Данные информационные системы персональныхданных предназначены для реализации полномочий федеральных органовгосударственной власти и осуществления функций органов власти и организаций.

16.1. К основным сегментным информационным системам персональныхданных относятся:

региональный сегмент единой государственной информационнойсистемы в сфере здравоохранения Оренбургской области;

государственная информационная система жилищно-коммунальногохозяйства;

государственная информационная система о государственныхмуниципальных платежах.

К категориям персональных данных, которые могут подлежатьобработке в сегментных информационных системах персональных данных, относятся:

специальные;

сотрудников оператора;

общедоступные;

иные.

Режим обработки персональных данных в сегментныхинформационных системах персональных данных является многопользовательским, тоесть данные информационные системы персональных данных предусматриваютразграничение доступа. Обработка персональных данных осуществляется всоответствии с предоставленными правами сотрудниками органов власти иорганизаций в специализированных программах и (или) посредством веб-интерфейса,в отдельных случаях – гражданами всех стран мира в режиме веб-интерфейса (сограниченными правами доступа).

Типами субъектов персональных данных, которые могут подлежатьобработке в сегментных информационных системах персональных данных, являютсяграждане всех стран мира.

Структура сегментных информационных систем персональныхданных – распределенная или локальная, функционирующая в контролируемых зонахоргана власти и организации.

Сегментные информационные системы персональных данныхподключены к сетям связи общего пользования (сетям международногоинформационного обмена).

По типу подключения сегментные информационные системыперсональных данных делятся на подключенные посредством:

единой информационно-телекоммуникационной сети;

иных каналов связи.

Обмен (передача и получение) персональных данных с инымиинформационными системами персональных данных осуществляется в зависимости оттехнологии подключения к сетям связи общего пользования (сетям международногоинформационного обмена):

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

посредством единой информационно-телекоммуникационной сети;

с использованием средств криптографической защиты информации.

Средствами вычислительной техники, участвующими в обработкеинформации, являются автоматизированные рабочие места пользователей,терминальная станция, серверное оборудование, сетевое и телекоммуникационноеоборудование.

16.2. По технологии обработки сегментные информационныесистемы персональных данных подразделяются на:

построенные по технологии толстого клиента: на рабочие местапользователей сегментных информационных систем персональных данныхустанавливается специальное клиентское приложение, осуществляющее подключение ксерверному сегменту, располагающемуся в пределах контролируемой зоны органавласти и организации и передающее данные на центральный сегмент или напрямую вцентральный сегмент;

построенные по технологии толстого клиента: на рабочие местапользователей сегментных информационных систем персональных данныхустанавливается специальное клиентское приложение, осуществляющее выгрузкуданных на локальный носитель и последующую передачу выгруженных данныхпосредством защищенного канала связи или нарочно;

построенные по технологии тонкого клиента: на рабочие местапользователей сегментных информационных систем персональных данных передаетсятолько графическая информация, сама обработка данных осуществляется наудаленном серверном сегменте, располагающемся в пределах контролируемой зоныоргана власти и организации и передающем данные на центральный сегмент, или нацентральном сегменте.

16.3. Сегментные информационные системы персональных данных,реализованные по технологии тонкого клиента, подразделяются на:

реализованные посредством веб-интерфейса с применениемвеб-браузера и авторизацией с помощью логина и пароля и (или) сертификатаэлектронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года№ 63-ФЗ «Об электронной подписи»;

реализованные с использованием терминального доступа савторизацией с помощью логина и пароля и (или) сертификата электронной подписив соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ«Об электронной подписи».

Уровни защищенности сегментных информационных системперсональных данных – первый, второй, третий.

17. Внутриобластные информационные системы персональныхданных создаются и эксплуатируются по желанию (на основании решения) органавласти и организации в интересах нескольких органов власти и организаций, приэтом цели и задачи создания (модернизации), эксплуатации данных информационныхсистем персональных данных, а также требования к ним определяются на уровнеоргана власти и организации.

17.1. По осуществляемым функциям внутриобластныеинформационные системы персональных данных подразделяются на:

интеграционные (государственная автоматизированнаяинформационная система «Электронный социальныйрегистр населения Оренбургской области»);

многопрофильные (единая автоматизированная системаэлектронного документооборота и делопроизводства в органах исполнительнойвласти Оренбургской области, государственная информационная система«Автоматизированная информационная система поддержки деятельностимногофункциональных центров предоставления государственных и муниципальныхуслуг и межведомственных запросов Оренбургской области»);

информационные системы персональных данных для органов властии организаций, и иных организаций (предприятий, учреждений) Оренбургскойобласти (информационная система удостоверяющего центра электронной подписи).

17.2. Внутриобластные информационные системы персональныхданных интеграционные характеризуются отсутствием пользователей (кроме администраторовинформационных систем персональных данных и администраторов безопасностиинформационных систем персональных данных) и функционируют исключительно вцелях интеграции и передачи данных между информационными системами персональныхданных иных категорий.

К категориям персональных данных, которые могут подлежатьобработке во внутриобластных информационных системах персональных данныхинтеграционных, относятся:

специальные;

общедоступные.

иные.

Режим обработки персональных данных во внутриобластных информационныхсистемах персональных данных интеграционных является многопользовательским, тоесть данные информационные системы персональных данных предусматриваютразграничение доступа. Обработка персональных данных осуществляетсясотрудниками органов власти и организаций в специализированных программах и(или) посредством веб-интерфейса в соответствии с предоставленными правами.

Типами субъектов персональных данных, которые могут подлежатьобработке во внутриобластных информационных системах персональных данныхинтеграционных, являются граждане всех стран мира.

Структура во внутриобластных информационных системахперсональных данных интеграционных – локальная или распределенная,функционирующая в контролируемых зонах органа власти и организации.

Внутриобластные информационные системы персональных данныхинтеграционные подключены к сетям связи общего пользования (сетяммеждународного информационного обмена). По типу подключения внутриобластныеинформационные системы персональных данных интеграционные делятся на:

подключенные посредством единойинформационно-телекоммуни-кационной сети;

подключенные с использованием иных каналов связи.

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

посредством единой информационно-телекоммуникационной сети;

с использованием средств криптографической защиты информации.

Уровни защищенности внутриобластной информационных системперсональных данных интеграционных – первый, второй, третий.

17.3. Внутриобластные информационные системы персональныхданных многопрофильные предназначены для централизованной автоматизацииделопроизводства и документооборота, учета корреспонденции, обращений граждан,обеспечения доступа к электронным документам в органах власти и организациях.

К категориям персональных данных, которые могут подлежатьобработке во внутриобластных информационных системах персональных данныхмногопрофильных, относятся:

специальные;

общедоступные;

иные.

Режим обработки персональных данных во внутриобластныхинформационных системах персональных данных многопрофильных являетсямногопользовательским, то есть данные информационные системы персональныхданных предусматривают разграничение доступа. Обработка персональных данныхосуществляется сотрудниками органов власти и организаций в специализированныхпрограммах в соответствии с предоставленными правами.

Типами субъектов персональных данных, которые могут подлежатьобработке во внутриобластных информационных системах персональных данныхмногопрофильных, являются граждане всех стран мира.

Структура внутриобластных информационных систем персональныхданных многопрофильных – локальная или распределенная, функционирующая вконтролируемых зонах органа власти и организации.

Внутриобластные информационные системы персональных данныхмногопрофильные подключены к сетям связи общего пользования (сетям международногоинформационного обмена). По типу подключения данные информационные системыперсональных данных делятся на:

подключенные посредством единойинформационно-телекоммуника-ционной сети;

подключенные с использованием иных каналов связи.

посредством единой информационно-телекоммуникационной сети;

с использованием средств криптографической защиты информации.

Уровни защищенности внутриобластных информационных системперсональных данных многопрофильных – второй, третий.

17.4. Внутриобластные информационные системы персональныхданных для органов власти и организаций и иных организаций (предприятий,учреждений) Оренбургской области (далее – внутриобластные информационныесистемы персональных данных для органов власти и организаций) предназначены дляавтоматизации совместной деятельности органов власти и организаций и иныхорганизаций (предприятий, учреждений) Оренбургской области, в том числедеятельности, необходимой в соответствии с требованиями законодательстваРоссийской Федерации и Оренбургской области.

К категориям персональных данных, которые могут подлежатьобработке во внутриобластных информационных системах персональных данных дляорганов власти и организаций, относятся:

общедоступные;

иные.

Режим обработки персональных данных во внутриобластныхинформационных системах персональных данных для органов власти и организаций являетсямногопользовательским, то есть данные информационные системы персональныхданных предусматривают разграничение доступа. Обработка персональных данныхосуществляется в соответствии с предоставленными правами сотрудниками органоввласти и организаций и организациями (предприятиями, учреждениями) Оренбургскойобласти в специализированных программах в режиме веб-интерфейса.

Типами субъектов персональных данных, которые могут подлежатьобработке во внутриобластных информационных системах персональных данных дляорганов власти и организаций, являются сотрудники органов власти и организацийи организаций (предприятий, учреждений) Оренбургской области.

Структура внутриобластных информационных систем персональныхданных для органов власти и организаций – локальная, функционирующая вконтролируемых зонах органа власти и организации.

Внутриобластные информационные системы персональных данныхдля органов власти и организаций подключены к сетям связи общего пользования(сетям международного информационного обмена). По типу подключения такиеинформационные системы персональных данных делятся на:

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

подключенные посредством единойинформационно-телекоммуника-ционной сети;

с использованием средств криптографической защиты информации.

Обмен (передача и получение) персональных данных с инымиинформационными системами передачи данных осуществляется в зависимости оттехнологии подключения к сетям связи общего пользования (сетям международногоинформационного обмена):

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

посредством единой информационно-телекоммуникационной сети;

с использованием средств криптографической защиты информации.

Уровни защищенности внутриобластных информационных системперсональных данных для органов власти и организаций – второй, третий.

По архитектуре внутриобластные информационные системыперсональных данных для органов власти и организаций подразделяются на:

сегментированные;

централизованные;

смешанные.

Сегментированные внутриобластные информационные системыперсональных данных для органов власти и организаций делятся на сегменты(центральный и периферийный), функционирующие независимо. Центральный сегментявляется единой точкой консолидации информации, получаемой от периферийныхсегментов. Периферийные сегменты являются непосредственно точками, которыеотвечают за наполнение и первоначальную обработку информации. В составпериферийных сегментов входят автоматизированные рабочие места пользователей, атакже автоматизированное рабочее место пользователя, выполняющее функциисервера, или серверное оборудование. Пользователи периферийных сегментовподключаются к расположенному в пределах контролируемых зон автоматизированномурабочему месту пользователя, выполняющему функции сервера, или серверномуоборудованию, осуществляющему консолидацию сведений на уровне периферийногосегмента, который в свою очередь передает полученные данные в центральныйсегмент.

По технологии обработки сегментированные внутриобластные информационныесистемы персональных данных для органов власти и организаций подразделяются на:

построенные по технологии толстого клиента: на рабочие местапользователей данных информационных систем персональных данных устанавливаетсяспециальное клиентское приложение, осуществляющее подключение кавтоматизированному рабочему месту пользователя, выполняющему функции сервера,или серверному сегменту, располагающемуся в пределах контролируемых зон органавласти и организации и передающему данные на центральный сегмент;

построенные по технологии тонкого клиента: на рабочие местапользователей данных информационных систем персональных данных передаетсятолько графическая информация, сама обработка данных осуществляется насерверном сегменте, располагающемся в пределах контролируемых зон органа властии организации и передающем данные на центральный сегмент.

Сегментированные внутриобластные информационные системыперсональных данных для органов власти и организаций, реализованные потехнологии тонкого клиента, подразделяются на:

реализованные посредством веб-интерфейса с применениемвеб-браузера и с авторизацией с помощью логина и пароля и (или) сертификатаэлектронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года№ 63-ФЗ «Об электронной подписи»;

Централизованные внутриобластные информационные системыперсональных данных для органов власти и организаций делятся на сегменты(центральный и периферийный).

Центральный сегмент является единой точкой консолидацииинформации, получаемой от периферийных сегментов.

В состав периферийных сегментов входят толькоавтоматизированные рабочие места пользователей, которые являютсянепосредственно точками, отвечающими за наполнение и первоначальную обработкуинформации. Пользователи периферийных сегментов подключаются напрямую к центральномусегменту и осуществляют обработку данных непосредственно на нем.

По технологии обработки централизованные внутриобластныеинформационные системы персональных данных для органов власти и организацийподразделяются на:

построенные по технологии толстого клиента: на рабочие местапользователей данных информационных систем персональных данных устанавливаетсяспециальное клиентское приложение, осуществляющее выгрузку данных на локальныйноситель и последующую передачу выгруженных данных посредством защищенногоканала связи или нарочно;

Централизованные внутриобластные информационные системыперсональных данных для органов власти и организаций, реализованные потехнологии тонкого клиента, подразделяются на:

Смешанные внутриобластные информационные системы персональныхданных для органов власти и организаций построены с одновременным применениемсегментированных и централизованных архитектур. Данные информационные системыперсональных данных могут объединять в себе технологии обработки, характерныекак для сегментированных внутриобластных информационных систем персональныхданных для органов власти и организаций, так и для централизованныхвнутриобластных информационных систем персональных данных для органов власти иорганизаций.

18. Ведомственные информационные системы персональных данныхсоздаются (эксплуатируются) на основании решения органа власти и организации винтересах органа власти и организации. Ведомственные информационные системыперсональных данных предназначены для осуществления функций органов власти иорганизаций.

18.1. К категориям персональных данных, которые могутподлежать обработке в ведомственных информационных системах персональныхданных, относятся:

специальные;

общедоступные;

иные.

Режим обработки персональных данных в ведомственныхинформационных системах персональных данных является многопользовательским, тоесть данные информационные системы персональных данных предусматриваютразграничение доступа. Обработка персональных данных осуществляетсясотрудниками органов власти и организаций в специализированных программах и(или) посредством веб-интерфейса в соответствии с предоставленными правами.

Типами субъектов персональных данных, которые могут подлежатьобработке в ведомственных информационных системах персональных данных, являютсясотрудники оператора информационной системы персональных данных, иных органоввласти и организаций, а также сторонние граждане.

Структура ведомственных информационных систем персональныхданных – распределенная или локальная, функционирующая в контролируемых зонахоргана власти и организации.

Ведомственные информационные системы персональных данных подключенык сетям связи общего пользования (сетям международного информационного обмена).По типу подключения ведомственные информационные системы персональных данныхделятся на:

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

подключенные посредством единойинформационно-телекоммуникационной сети;

подключенные с использованием иных каналов связи.

Обмен (передача и получение) персональными данными междусегментами ведомственных информационных систем персональных данных (приналичии) и иными информационными системами персональных данных осуществляется взависимости от технологии подключения к сетям связи общего пользования (сетяммеждународного информационного обмена):

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

посредством единой информационно-телекоммуникационной сети;

с использованием средств криптографической защиты информации.

Обмен персональными данными между сегментами ведомственныхинформационных систем персональных данных (при наличии) и иными информационнымисистемами персональных данных также может осуществляться посредствомсобственных корпоративных сетей органа власти и организации.

Уровни защищенности ведомственных информационных системперсональных данных – первый, второй, третий.

18.2. По архитектуре ведомственные информационные системыперсональных данных подразделяются на:

сегментированные;

централизованные;

смешанные.

18.3. Сегментированные ведомственные информационныесистемы персональных данных делятся на сегменты (центральный и периферийный),функционирующие независимо.

Центральный сегмент является единой точкой консолидацииинформации, получаемой от периферийных сегментов.

Периферийные сегменты являются непосредственно точками,отвечающими за наполнение и первоначальную обработку информации. В составпериферийных сегментов входят автоматизированные рабочие места пользователей, атакже автоматизированные рабочие места пользователей, выполняющие функциисервера, или серверное оборудование. Пользователи периферийных сегментовподключаются к расположенному в пределах контролируемой зоныавтоматизированному рабочему месту пользователя, выполняющему функции сервера,или серверному оборудованию, осуществляющему консолидацию сведений на уровнепериферийного сегмента, который в свою очередь передает полученные данные вцентральный сегмент.

По технологии обработки сегментированные ведомственныеинформационные системы персональных данных подразделяются на:

Сегментированные ведомственные информационные системыперсональных данных, реализованные по технологии тонкого клиента,подразделяются на:

18.4. Централизованные ведомственные информационные системыперсональных данных делятся на сегменты (центральный и периферийный).

Центральный сегмент является единой точкой консолидацииинформации, получаемой от периферийных сегментов.

В состав периферийных сегментов входят толькоавтоматизированные рабочие места пользователей, которые являютсянепосредственно точками, отвечающими за наполнение и первоначальную обработкуинформации. Пользователи периферийных сегментов подключаются напрямую кцентральному сегменту и осуществляют обработку данных непосредственно на нем.

По технологии обработки централизованные ведомственныеинформационные системы персональных данных подразделяются на:

построенные по технологии толстого клиента: на рабочие местапользователей данных информационных систем персональных данных устанавливаетсяспециальное клиентское приложение, осуществляющее выгрузку данных на локальныйноситель и последующую передачу выгруженных данных посредством защищенногоканала связи или нарочно;

Централизованные ведомственные информационные системыперсональных данных, реализованные по технологии тонкого клиента,подразделяются на:

18.5. Смешанные ведомственные информационные системыперсональных данных построены с одновременным применением сегментированных ицентрализованных архитектур. Данные информационные системы персональных данныхмогут объединять в себе технологии обработки, характерные как длясегментированных информационных систем персональных данных, так и дляцентрализованных информационных систем персональных данных.

19. Служебные информационные системы персональных данныхсоздаются (эксплуатируются) на основании решения органа власти и организации винтересах органа власти и организации, цели и задачи создания (модернизации),эксплуатации которых определяются органом власти и организацией, и используютсядля автоматизации определенной области деятельности или типовой деятельности,неспецифичной относительно полномочий определенных органа власти и организации.Служебные информационные системы персональных данных предназначены дляуправления бизнес-процессами в органе власти и организации.

19.1. Служебными информационными системами персональныхданных являются:

информационные системы персональных данных бухгалтерского учета и управления финансами;

информационные системы персональных данных кадрового учета и управления персоналом;

информационные системы персональных данных документооборота и делопроизводства.

19.2. Информационные системы персональных данныхбухгалтерского учета и управления финансами предназначены для автоматизациидеятельности органа власти и организации, связанной с ведением бухгалтерскогоучета и управлением финансами.

Обработке в служебных информационных системах персональныхданных бухгалтерского учета и управления финансами подлежат иные категорииперсональных данных.

Режим обработки персональных данных в служебныхинформационных системах персональных данных бухгалтерского учета и управленияфинансами является многопользовательским, то есть данная информационная системаперсональных данных предусматривает разграничение доступа. Обработка персональныхданных осуществляется сотрудниками органов власти и организаций вспециализированных программах и (или) посредством веб-интерфейса в соответствиис предоставленными правами.

Типами субъектов персональных данных, которые могут подлежатьобработке в служебных информационных системах персональных данныхбухгалтерского учета и управления финансами являются сотрудники органа власти иорганизации.

Структура служебных информационных систем персональных данныхбухгалтерского учета и управления финансами – локальная, функционирующая вконтролируемых зонах органа власти и организации.

Служебные информационные системы персональных данныхбухгалтерского учета и управления финансами подключены к сетям связи общегопользования (сетям международного информационного обмена). По типу подключенияданные информационные системы персональных данных делятся на:

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

подключенные посредством единойинформационно-телекоммуни-кационной сети;

подключенные с использованием иных каналов связи.

Передача персональных данных в иные информационные системыперсональных данных осуществляется в зависимости от технологии подключения ксетям связи общего пользования (сетям международного информационного обмена):

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

с использованием средств криптографической защиты информации.

По технологии обработки служебные информационные системыперсональных данных бухгалтерского учета и управления финансами подразделяются на:

построенные по технологии толстого клиента: на рабочие местапользователей данных информационных систем персональных данных устанавливаетсяспециальное клиентское приложение, осуществляющее подключение к базе данных,которая хранится на серверном сегменте (сервере или автоматизированном рабочемместе пользователя, выполняющем функцию сервера), располагающемся в пределахконтролируемых зон органа власти и организации;

построенные по технологии тонкого клиента: на рабочие местапользователей данных информационных систем персональных данных передаетсятолько графическая информация, сама обработка данных осуществляется наудаленном серверном сегменте (сервере или автоматизированном рабочем местепользователя, выполняющем функцию сервера), располагающемся в пределахконтролируемых зон органа власти и организации.

Доступ к персональным данным в служебных информационныхсистемах персональных данных бухгалтерского учета и управления финансамипредоставляется пользователю после ввода логина и пароля (предъявления идентификатора).

Уровень защищенности служебных информационных системперсональных данных бухгалтерского учета и управления финансами – четвертый.

19.3. Служебные информационные системы персональных данныхкадрового учета и управления персоналом предназначены для автоматизациидеятельности органа власти и организации, связанной с ведением кадрового учетаи управления персоналом.

К категориям персональных данных, которые могут подлежатьобработке в служебных информационных системах персональных данных кадровогоучета и управления персоналом, относятся:

специальные;

иные.

Режим обработки персональных данных в служебныхинформационных системах персональных данных кадрового учета и управленияперсоналом является многопользовательским, то есть данные информационныесистемы персональных данных предусматривают разграничение доступа. Обработкаперсональных данных осуществляется сотрудниками органов власти и организаций вспециализированных и (или) стандартных офисных программах и (или) посредствомвеб-интерфейса в соответствии с предоставленными правами.

Типами субъектов персональных данных, которые могут подлежатьобработке в данных информационных системах персональных данных являютсясотрудники органа власти и организации, являющихся оператором информационнойсистемы персональных данных, граждане Российской Федерации, устанавливающие(имеющие) трудовые отношения (трудовые договоры, служебные контракты) с органомвласти и организацией.

Структура служебных информационных систем персональных данныхкадрового учета и управления персоналом – локальная, функционирующая вконтролируемых зонах органа власти и организации.

Служебные информационные системы персональных данныхкадрового учета и управления персоналом подключены к сетям связи общегопользования (сетям международного информационного обмена). По типу подключенияинформационные системы персональных данных делятся на:

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

подключенные посредством единой информационно-телекоммуни-кационнойсети;

подключенные с использованием иных каналов связи.

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

с использованием средств криптографической защиты информации.

Технология обработки персональных данных в служебныхинформационных системах персональных данных кадрового учета и управленияперсоналом построена по принципу толстого клиента: на рабочие местапользователей данных информационных систем персональных данных устанавливаетсяспециальное клиентское приложение, осуществляющее подключение к базе данных,которая хранится на серверном сегменте (сервере или автоматизированном рабочемместе пользователя, выполняющем функцию сервера), располагающемся в пределахконтролируемых зон органа власти и организации. Доступ к персональным данным вслужебных информационных системах персональных данных кадрового учета иуправления персоналом предоставляется пользователю после ввода логина и пароля(предъявления идентификатора).

Уровень защищенности служебных информационных системперсональных кадрового учета и управления персоналом – четвертый.

19.4. Служебные информационные системы персональных данныхдокументооборота и делопроизводства предназначены для автоматизациидеятельности органа власти и организации, связанной с осуществлениемдокументооборота и делопроизводства.

К категориям персональных данных, которые могут подлежатьобработке в служебных информационных системах персональных данныхдокументооборота и делопроизводства, относятся:

специальные;

общедоступные;

иные.

Режим обработки персональных данных в служебныхинформационных системах персональных данных документооборота и делопроизводстваявляется многопользовательским, то есть данные информационные системыперсональных данных предусматривают разграничение доступа. Обработкаперсональных данных осуществляется сотрудниками органов власти и организаций вспециализированных программах в соответствии с предоставленными правами.

Типами субъектов персональных данных документооборота иделопроизводства, которые могут подлежать обработке в данных информационныхсистемах персональных данных являются сотрудники органа власти и организации,являющихся операторами информационной системы персональных данных, и гражданевсех стран мира.

Структура информационных систем персональных данныхдокументооборота и делопроизводства – локальная, функционирующая вконтролируемых зонах органа власти и организации.

Служебные информационные системы персональных данныхдокументооборота и делопроизводства подключены к сетям связи общего пользования(сетям международного информационного обмена). По типу подключения служебныеинформационные системы персональных данных документооборота и делопроизводстваделятся на:

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

подключенные посредством единой информационно-телекоммуни-кационнойсети;

подключенные с использованием иных каналов связи.

без подключения (передача персональных данных осуществляетсяс использованием машинных носителей);

посредством единой информационно-телекоммуникационной сети;

с использованием сторонних средств криптографической защитыинформации.

Технология обработки персональных данных в служебных информационныхсистемах персональных данных документооборота и делопроизводства построена попринципу толстого клиента: на рабочие места пользователей информационных системперсональных данных устанавливается специальное клиентское приложение,осуществляющее подключение к базе данных, которая хранится на серверномсегменте (сервере или автоматизированном рабочем месте пользователя,выполняющем функцию сервера), располагающемся в пределах контролируемых зоноргана власти и организации. Доступ к персональным данным в служебныхинформационных системах персональных данных документооборота и делопроизводствапредоставляется пользователю после ввода логина и пароля (предъявленияидентификатора).

Уровень защищенности служебных информационных системперсональных данных документооборота и делопроизводства – четвертый.

V.Угрозы безопасности персональных данных, выявленные при

функционированииинформационной системы персональных данных

20. Источниками угроз безопасности персональных данных винформационной системе персональных данных являются:

носитель вредоносной программы;

аппаратная закладка;

нарушитель.

20.1. Носителем вредоносной программы может быть аппаратныйэлемент компьютера или программный контейнер. В случае если вредоноснаяпрограмма не ассоциируется с какой-либо прикладной программой, в качестве ееносителя рассматриваются:

отчуждаемый носитель, то есть дискета, оптический диск,флэш-память, отчуждаемый жесткий магнитный диск и другое;

встроенные носители информации (жесткие магнитные диски,микросхемы оперативной памяти, процессор, микросхемы системной платы,микросхемы устройств, встраиваемых в системный блок, видеоадаптера, сетевойплаты, звуковой платы, модема, устройств ввода/вывода, магнитных жестких иоптических дисков, микросхемы прямого доступа к памяти, шин передачи данных,портов ввода/вывода.

В случае если вредоносная программа ассоциируется скакой-либо прикладной программой, файлами, имеющими определенные расширения илииные атрибуты, сообщениями, передаваемыми по сети, то ее носителями являютсяпакеты передаваемых по компьютерной сети сообщений или файлы (текстовые,графические, исполняемые и другое).

20.2. Под аппаратной закладкой потенциально можетрассматриваться возможность применения аппаратных средств, предназначенных длярегистрации вводимой в информационную систему персональных данных с клавиатурыавтоматизированного рабочего места пользователя информации (персональныхданных): аппаратная закладка внутри клавиатуры, считывание данных с кабеляклавиатуры бесконтактным методом, включение устройства в разрыв кабеля,аппаратная закладка внутри системного блока и другое. Однако в виду отсутствиявозможности неконтролируемого пребывания физических лиц в служебных помещениях,в которых размещены технические средства информационной системы персональныхданных, или в непосредственной близости от них установка аппаратных закладокпосторонними лицами невозможна.

Существование данного источника маловероятно также из-занесоответствия стоимости аппаратных закладок, сложности их скрытой установки иполученной в результате информации.

20.3. Под нарушителями безопасности информации понимаютсяфизические лица, случайно или преднамеренно совершающие действия, следствиемкоторых является нарушение безопасности персональных данных при их обработке винформационных системах персональных данных.

По наличию права постоянного или разового доступа винформационные системы персональных данных нарушители безопасности информацииподразделяются на два типа:

внешние нарушители – нарушители, не имеющие правомерногодоступа к информационным системам персональных данных и реализующие угрозы извнешних сетей связи общего пользования и (или) сетей международногоинформационного обмена;

внутренние нарушители – нарушители, имеющие правомерныйдоступ к информационным системам персональных данных, включая пользователейинформационной системы персональных данных, и реализующие угрозынепосредственно в информационной системе персональных данных.

VI.Основные угрозы безопасности в информационных системах персональных данных

21. Основными видами угроз безопасности в информационныхсистемах персональных данных являются:

угрозы утечки информации по техническим каналам;

угрозы использования штатных средств информационных системперсональных данных с целью совершения несанкционированного доступа кинформации;

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы недекларированных возможностей в системном программномобеспечении и прикладном программном обеспечении;

угрозы, не являющиеся атаками;

угрозы несанкционированного доступа, создающие предпосылкидля реализации несанкционированного доступа в результате нарушения процедурыавторизации и аутентификации;

угрозы несанкционированного доступа к информации в результатеслабости процедур разграничения ролей и полномочий, правил управления доступом;

угрозы ошибок (внесения уязвимостей) при проектировании,внедрении информационной системы персональных данных (системы информационнойбезопасности информационной системы персональных данных);

угрозы ошибочных (деструктивных) действий лиц;

угрозы получения нарушителем сведений о структуре,конфигурации и настройках информационной системы персональных данных и еесистемы защиты;

угрозы программно-математических воздействий;

угрозы, связанные с использованием «облачных» услуг;

угрозы, связанные с использованием суперкомпьютерныхтехнологий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы эксплуатации уязвимостей в системном программномобеспечении, прикладном программном обеспечении, средств защиты информации,средств криптографической защиты информации, аппаратных компонентахинформационной системы персональных данных, микропрограммном обеспечении;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

VII. Актуальные угрозы безопасности персональных данных

в информационных системах персональных данных

22. В настоящем разделе рассматриваются актуальные угрозыбезопасности персональных данных в информационных системах персональных данных,указанных в разделе IV настоящего Положения.

23. К информационно-справочным информационным системамперсональных данных относятся:

23.1.«Официальные порталы (сайты) органов власти и организаций». Видами актуальныхугроз безопасности для данных информационных систем являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием «облачных» услуг;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

23.2.«Информационные порталы (сайты)». Видами актуальных угроз безопасности дляданных информационных систем являются:

угрозы использования штатных средств информационной системыперсональных данных с целью совершения несанкционированного доступа кинформации;

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием «облачных» услуг;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы эксплуатации уязвимостей в системном программномобеспечении, прикладном программном обеспечении, средствах защиты информации,средствах криптографической защиты информации, аппаратных компонентахинформационной системы персональных данных, микропрограммном обеспечении;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

23.3.«Закрытые порталы для нескольких групп участников органов власти и организаций».Видами актуальных угроз безопасности для данных информационных систем являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием «облачных» услуг;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

23.4.«Специализированная информационная система «Портал государственных услугОренбургской области». Видами актуальных угроз безопасности для данныхинформационных систем являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием «облачных» услуг;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

24. Видами актуальных угроз безопасности для сегментныхинформационных систем персональных данных являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

25. К внутриобластным информационным системам персональныхданных относятся:

25.1. Информационные системы персональных данныхинтеграционные. Видами актуальных угроз безопасности для данных информационныхсистем являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы несанкционированного доступа, создающие предпосылкидля реализации несанкционированного доступа в результате нарушения процедуры авторизациии аутентификации;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

25.2. Информационные системы персональных данныхмногопрофильные. Видами актуальных угроз безопасности для данных информационныхсистем являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

25.3. Информационные системы персональных данных для органоввласти и организаций. Видами актуальных угроз безопасности для данныхинформационных систем являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы эксплуатации уязвимостей в системном программномобеспечении прикладном программном обеспечении, средств защиты информации,средств криптографической защиты информации, аппаратных компонентахинформационной системы персональных данных, микропрограммном обеспечении;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

26. Видами актуальных угроз безопасности для ведомственныхинформационных систем персональных данных являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

27. К служебным информационным системам персональных данныхотносятся:

27.1. Информационные системы персональных данныхбухгалтерского учета и управления финансами. Видами актуальных угрозбезопасности для данных информационных систем являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки (обновления)программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

27.2. Информационные системы персональных данных кадровогоучета и управления персоналом. Видами актуальных угроз безопасности для данныхинформационных систем являются:

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событийинформационной безопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

27.3. Информационные системы персональных данныхдокументооборота и делопроизводства. Видами актуальных угроз безопасности дляданных информационных систем являются:

Угрозы использования штатных средств информационной системыперсональных данных с целью совершения несанкционированного доступа кинформации;

угрозы нарушения доступности информации;

угрозы нарушения целостности информации;

угрозы, не являющиеся атаками;

угрозы ошибочных (деструктивных) действий лиц;

угрозы программно-математических воздействий;

угрозы, связанные с использованием технологий виртуализации;

угрозы, связанные с нарушением правил эксплуатации машинныхносителей;

угрозы, связанные с нарушением процедур установки(обновления) программного обеспечения и оборудования;

угрозы физического доступа к компонентам информационнойсистемы персональных данных;

угрозы, связанные с использованием сетевых технологий;

угрозы инженерной инфраструктуры;

угрозы, связанные с отсутствием системы регистрации событий информационнойбезопасности;

угрозы, связанные с контролем защищенности информационнойсистемы персональных данных.

28. Обобщенные возможности источников атак представлены вприложении № 1 к настоящему Положению.

29. Уточненные возможности нарушителей и направления атакпредставлены в приложении № 2 к настоящему Положению.

30. Расширенный перечень угроз безопасности персональныхданных, актуальных при обработке персональных данных в информационных системахперсональных данных, представлен в приложении № 3 к настоящему Положению.

Приложение№ 1

кположению об угрозах

безопасностиперсональных данных, актуальных при обработке персональных данных винформационных системах персональных данных органов исполнительнойвласти Оренбургской области

Обобщенные возможности источников атак

№ п/п

Наименование обобщенной возможности источников атак

Да/нет

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны

да

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к автоматизированной системе, на которой реализованы средства криптографической защиты информации и среда их функционирования

да

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к автоматизированной системе, на которой реализованы средства криптографической защиты информации и среда их функционирования

нет

Возможность привлекать специалистов, имеющих опыт разработки и анализа средств криптографической защиты информации (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок средства криптографической защиты информации)

нет

Возможность привлекать специалистов, имеющих опыт разработки и анализа средств криптографической защиты информации (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения)

нет

Возможность привлекать специалистов, имеющих опыт разработки и анализа средств криптографической защиты информации (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования средств криптографической защиты информации)

нет

Приложение № 2

кположению об угрозах безопасности персональных данных, актуальных при обработкеперсональных данных в информационных системах персональных данных органовисполнительной власти Оренбургской области

Уточненные возможности нарушителей и направления атак

1	2	3	4
№ п/п	Наименование уточненной возможности нарушителей и направления атак	Актуальность применения	Обоснование отсутствия возможности нарушителей и направления атак
1.	Проведение атак при нахождении в пределах контролируемой зоны	актуально	-
2.	Проведение атак на этапе эксплуатации средств криптографической защиты информации на следующие объекты: документация на средства криптографической защиты информации и среда функционирования средств криптографической защиты информации; помещения, в которых находятся программные и технические элементы систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее – средства вычислительной техники), на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации	неактуально	проведение работ по подбору персонала; обеспечение доступа в контролируемую зону, где находятся средства криптографической защиты информации, в соответствии с контрольно-пропускным режимом; хранение документации на средства криптографической защиты информации в металлическом сейфе у ответственного за средства криптографической защиты информации; оснащение помещений, в которых располагаются документация на средства криптографической защиты информации, компоненты среды функционирования средств криптографической защиты информации, входными дверьми с замками; обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода; утверждение перечня лиц, имеющих право доступа в помещения
3.	Получение в рамках предоставленных полномочий, а также в результате наблюдений следующих сведений о: физических мерах защиты объектов, в которых размещены ресурсы информационной системы; мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации	неактуально	проведение работ по подбору персонала; обеспечение доступа в контролируемую зону и помещения, где располагаются ресурсы информационной системы персональных данных, в соответствии с контрольно-пропускным режимом; доступность сведений о физических мерах защиты объектов, в которых размещены информационные системы персональных данных, ограниченному кругу сотрудников; информирование сотрудников об ответственности за несоблюдение правил обеспечения безопасности информации
4.	Использование штатных средств информационной системы персональных данных, ограниченных мерами, реализованными в информационной системе, в которой используются средства криптографической защиты информации, и направленных на предотвращение и пресечение несанкционированных действий	неактуально	проведение работ по подбору персонала; оснащение помещений, в которых располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода; информирование сотрудников об ответственности за несоблюдение правил обеспечения безопасности информации; осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам; осуществление регистрации и учета действий пользователей; использование в информационной системе персональных данных сертифицированных средств защиты информации от несанкционированного доступа, сертифицированных средств антивирусной защиты
5.	Физический доступ к средствам вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации	неактуально	проведение работ по подбору персонала; обеспечение доступа в контролируемую зону и помещения, где располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средства криптографической защиты информации, в соответствии с контрольно-пропускным режимом; оснащение помещений, в которых располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, входными дверьми с замками; обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода
6.	Возможность воздействовать на аппаратные компоненты средств криптографической защиты информации и среду функционирования средств криптографической защиты информации, ограниченную мерами, реализованными в информационной системе, в которой используются средства криптографической защиты информации, и направленными на предотвращение и пресечение несанкционированных действий	неактуально	проведение работ по подбору персонала; обеспечение доступа в контролируемую зону и помещения, где располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, в соответствии с контрольно-пропускным режимом; оснащение помещений, в которых располагаются средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, входными дверьми с замками; обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода; нахождение представителей технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, и сотрудников, не являющихся пользователями средств криптографической защиты информации, только в присутствии сотрудников по эксплуатации
7.	Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование средств криптографической защиты информации и среду функционирования средств криптографической защиты информации, и в области использования прикладного программного обеспечения для реализации атак недокументированных (недекларированных) возможностей	неактуально	отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, представляющих интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности; проведение работ по подбору персонала; обеспечение доступа в контролируемую зону и помещения, где располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, в соответствии с контрольно-пропускным режимом; оснащение помещений, в которых располагаются средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, входными дверьми с замками; обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода; нахождение представителей технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, и сотрудников, не являющихся пользователями средств криптографической защиты информации, только в присутствии сотрудников по эксплуатации; осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам; осуществление регистрации и учета действий пользователей; использование на автоматизированных рабочих местах пользователей и серверах, на которых установлены средства криптографической защиты информации, сертифицированных средств защиты информации от несанкционированного доступа и сертифицированных средств антивирусной защиты
8.	Проведение лабораторных исследований средств криптографической защиты информации, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используются средства криптографической защиты информации, и направленными на предотвращение и пресечение несанкционированных действий	неактуально	отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности
9.	Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств криптографической защиты информации и среды функционирования средств криптографической защиты информации, в том числе с использованием исходных текстов входящего в среду функционирования средств криптографической защиты информации прикладного программного обеспечения, непосредственно использующего вызовы программных функций средств криптографической защиты информации	неактуально	отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, представляющих интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности
10.	Создание способов, подготовка и проведение атак с привлечением специалистов в области использования недокументированных (недекларированных) возможностей системного программного обеспечения	неактуально	отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, представляющих интерес для реализации возможности; высокая стоимость и сложность подготовки реализации возможности; проведение работ по подбору персонала; обеспечение доступа в контролируемую зону и помещения, где располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, в соответствии с контрольно-пропускным режимом; оснащение помещений, в которых располагаются средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, входными дверьми с замками; обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода; нахождение представителей технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты средств криптографической защиты информации и среда функционирования средств криптографической защиты информации, и сотрудников, не являющихся пользователями средств криптографической защиты информации, только в присутствии сотрудников по эксплуатации; осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам; осуществление регистрации и учета действий пользователей; использование на автоматизированных рабочих местах пользователей и серверах, на которых установлены средства криптографической защиты информации, cертифицирован-ных средств защиты информации от несанкционированного доступа и сертифицированных средств антивирусной защиты
11.	Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования средств криптографической защиты информации	неактуально	отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, представляющих интерес для реализации возможности
12.	Возможность воздействовать на любые компоненты средств криптографической защиты информации и среду функционирования средств криптографической защиты информации	неактуально	отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, представляющих интерес для реализации возможности

№

п/п

Наименование уточненной возможности нарушителей и направления атак

Актуальность

применения

Обоснование отсутствия

возможности нарушителей и направления атак

Проведение атак при нахождении в пределах контролируемой зоны

актуально

Проведение атак на этапе эксплуатации средств криптографической защиты информации на следующие объекты:

документация на средства криптографической защиты информации и среда функционирования средств криптографической защиты информации;

помещения, в которых находятся программные и технические элементы систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее – средства вычислительной техники), на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации

неактуально

проведение работ по подбору персонала;

обеспечение доступа в контролируемую зону, где находятся средства криптографической защиты информации, в соответствии с контрольно-пропускным режимом;

хранение документации на средства криптографической защиты информации в металлическом сейфе у ответственного за средства криптографической защиты информации;

оснащение помещений, в которых располагаются документация на средства криптографической защиты информации, компоненты среды функционирования средств криптографической защиты информации, входными дверьми с замками; обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

утверждение перечня лиц, имеющих право доступа в помещения

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующих сведений о:

физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации

неактуально

проведение работ по подбору персонала;

обеспечение доступа в контролируемую зону и помещения, где располагаются ресурсы информационной системы персональных данных, в соответствии с контрольно-пропускным режимом;

доступность сведений о физических мерах защиты объектов, в которых размещены информационные системы персональных данных, ограниченному кругу сотрудников;

информирование сотрудников об ответственности за несоблюдение правил обеспечения безопасности информации

Использование штатных средств информационной системы персональных данных, ограниченных мерами, реализованными в информационной системе, в которой используются средства криптографической защиты информации, и направленных на предотвращение и пресечение несанкционированных действий

неактуально

проведение работ по подбору персонала;

оснащение помещений, в которых располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

информирование сотрудников об ответственности за несоблюдение правил обеспечения безопасности информации;

осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам;

осуществление регистрации и учета действий пользователей;

использование в информационной системе персональных данных сертифицированных средств защиты информации
от несанкционированного доступа, сертифицированных средств антивирусной защиты

Физический доступ к средствам вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации

неактуально

проведение работ по подбору персонала;

обеспечение доступа в контролируемую зону и помещения, где располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средства криптографической защиты информации, в соответствии с контрольно-пропускным режимом;

оснащение помещений, в которых располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, входными дверьми с замками; обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода

Возможность воздействовать на аппаратные компоненты средств криптографической защиты информации и среду функционирования средств криптографической защиты информации, ограниченную мерами, реализованными в информационной системе, в которой используются средства криптографической защиты информации, и направленными на предотвращение и пресечение несанкционированных действий

неактуально

проведение работ по подбору персонала;

обеспечение доступа в контролируемую зону и помещения, где располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, в соответствии с контрольно-пропускным режимом;

оснащение помещений, в которых располагаются средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, входными дверьми с замками; обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

нахождение представителей технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, и сотрудников, не являющихся пользователями средств криптографической защиты информации, только в присутствии сотрудников по эксплуатации

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование средств криптографической защиты информации и среду функционирования средств криптографической защиты информации, и в области использования прикладного программного обеспечения для реализации атак недокументированных (недекларированных) возможностей

неактуально

отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, представляющих интерес для реализации возможности;

высокая стоимость и сложность подготовки реализации возможности;

проведение работ по подбору персонала;

обеспечение доступа в контролируемую зону и помещения, где располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, в соответствии с контрольно-пропускным режимом;

осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам;

осуществление регистрации и учета действий пользователей;

использование на автоматизированных рабочих местах пользователей и серверах, на которых установлены средства криптографической защиты информации, сертифицированных средств защиты информации от несанкционированного доступа и сертифицированных средств антивирусной защиты

Проведение лабораторных исследований средств криптографической защиты информации, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используются средства криптографической защиты информации, и направленными на предотвращение и пресечение несанкционированных действий

неактуально

отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

высокая стоимость и сложность подготовки реализации возможности

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств криптографической защиты информации и среды функционирования средств криптографической защиты информации,

в том числе с использованием исходных текстов входящего в среду функционирования средств криптографической защиты информации прикладного программного обеспечения, непосредственно использующего вызовы программных функций средств криптографической защиты информации

неактуально

высокая стоимость и сложность подготовки реализации возможности

10.

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования недокументированных (недекларированных) возможностей системного программного обеспечения

неактуально

высокая стоимость и сложность подготовки реализации возможности;

проведение работ по подбору персонала;

обеспечение доступа в контролируемую зону и помещения, где располагаются средства вычислительной техники, на которых реализованы средства криптографической защиты информации и среда функционирования средств криптографической защиты информации, в соответствии с контрольно-пропускным режимом;

нахождение представителей технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты средств криптографической защиты информации и среда функционирования средств криптографической защиты информации, и сотрудников, не являющихся пользователями средств криптографической защиты информации, только в присутствии сотрудников по эксплуатации;

осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам;

осуществление регистрации и учета действий пользователей;

использование на автоматизированных рабочих местах пользователей и серверах, на которых установлены средства криптографической защиты информации, cертифицирован-ных средств защиты информации от несанкционированного доступа и сертифицированных средств антивирусной защиты

11.

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования средств криптографической защиты информации

неактуально

отсутствие обработки сведений, составляющих государственную тайну, а также иных сведений, представляющих интерес для реализации возможности

12.

Возможность воздействовать на любые компоненты средств криптографической защиты информации и среду функционирования средств криптографической защиты информации

неактуально

Приложение№ 3

к положению об угрозах безопасности персональных данных,актуальных при обработке персональных данных в информационных системахперсональных данных органов исполнительной власти Оренбургской области

Расширенныйперечень угроз безопасности персональных данных, актуальных при обработкеперсональных данных в информационных системах персональных данных

1	2	3	4
№ п/п	Наименование угрозы безопасности персональных данных	Наименование источника угроз безопасности персональных данных	Наименование объекта воздействия
I. Угрозы использования штатных средств информационной системы с целью совершения несанкционированного доступа к информации
1.	Угроза некорректного использования функционала программного обеспечения	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение; микропрограммное обеспечение; аппаратное обеспечение
2.	Угроза неправомерного (некорректного) использования интерфейса взаимодействия с приложением	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение; микропрограммное обеспечение; реестр операционной системы
3.	Угроза несанкционированного изменения аутентификационной информации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; объекты файловой системы, учетные данные пользователя; реестр операционной системы
4.	Доступ в операционную среду (локальную операционную систему отдельного технического средства информационной системы) с возможностью получения несанкционированного доступа вызовом штатных процедур или запуска специально разработанных программ	-¹⁾	-¹⁾
II. Угрозы нарушения доступности информации
5.	Угроза длительного удержания вычислительных ресурсов пользователями	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	информационная система; сетевой узел; носитель информации; системное программное обеспечение; сетевое программное обеспечение; сетевой трафик
6.	Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	гипервизор
7.	Угроза повреждения системного реестра	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	объекты файловой системы; реестр операционной системы
8.	Угроза приведения системы в состояние «отказ в обслуживании»	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	информационная система; сетевой узел; системное программное обеспечение; сетевое программное обеспечение; сетевой трафик
9.	Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	информационная система; сетевой узел; системное программное обеспечение; сетевое программное обеспечение
10.	Угроза утраты вычислительных ресурсов	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	информационная система; сетевой узел; носитель информации; системное программное обеспечение; сетевое программное обеспечение; сетевой трафик
11.	Угроза вывода из строя (выхода из строя) отдельных технических средств²⁾	-¹⁾	-¹⁾
12.	Угроза вывода из строя незарезервированных технических (программных) средств (каналов связи)	-¹⁾	-¹⁾
13.	Угроза отсутствия актуальных резервных копий²⁾	-¹⁾	-¹⁾
14.	Угроза потери информации в процессе ее обработки технически и (или) программными средствами и при передаче по каналам связи²⁾	-¹⁾	-¹⁾
15.	Угроза переполнения канала связи вследствие множества параллельных попыток авторизации²⁾	-¹⁾	-¹⁾
16.	Угроза нехватки ресурсов информационных систем для выполнения штатных задач в результате обработки множества параллельных задач, выполняемых одной учетной записью²⁾	-¹⁾	-¹⁾
III. Угрозы нарушения целостности информации
17.	Угроза нарушения целостности данных кэша	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	сетевое программное обеспечение
18.	Угроза некорректного задания структуры данных транзакции	внутренний нарушитель со средним потенциалом	сетевой трафик; база данных; сетевое программное обеспечение
19.	Угроза сбоя обработки файлов, измененных специальным образом	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	метаданные; объекты файловой системы; системное программное обеспечение
20.	Угроза отсутствия контроля целостности обрабатываемой в информационной системе информации, применяемого программного обеспечения, в том числе средств защиты информации²⁾	-¹⁾	-¹⁾
21.	Угроза отсутствия целостных резервных копий информации, программного обеспечения, средств защиты информации в случае реализации угроз информационной безопасности²⁾	-¹⁾	-¹⁾
22.	Угроза отсутствия контроля за поступающими в информационную систему данными, в том числе незапрашиваемыми²⁾	-¹⁾	-¹⁾
23.	Отсутствие средств централизованного управления за поступающими в информационную систему данными, в том числе незапрашиваемыми	-¹⁾	-¹⁾
24.	Отсутствие автоматизированных фильтров, осуществляющих обработку поступающей в информационную систему информации	-¹⁾	-¹⁾
25.	Угроза доступа в информационную систему информации от неаутентифицированных серверов (пользователей)	-¹⁾	-¹⁾
26.	Угроза отсутствия контроля за данными, передаваемыми из информационной системы²⁾	-¹⁾	-¹⁾
27.	Отсутствие резервного копирования информации, передаваемой из информационной системы	-¹⁾	-¹⁾
28.	Угроза ввода (передачи) недостоверных (ошибочных) данных²⁾	-¹⁾	-¹⁾
29.	Угроза подмены используемых информационной системой файлов²⁾	-¹⁾	-¹⁾
30.	Угроза модификации (удаления) файлов журналов системного, прикладного программного обеспечения, средств защиты²⁾	-¹⁾	-¹⁾
31.	Угроза установки (запуска) модифицированного программного обеспечения и (или) модифицированных обновлений программного обеспечения	-¹⁾	-¹⁾
32.	Угроза модификации, стирания или удаления данных системы регистрации событий информационной безопасности	-¹⁾	-¹⁾
33.	Отсутствие графика осуществления контроля целостности применяемых программных средств, в том числе средств защиты информации	-¹⁾	-¹⁾
34.	Угроза отсутствия контроля целостности информации, обрабатываемой информационной системой, и ее структуры	-¹⁾	-¹⁾
IV. Угрозы недекларированных возможностей в системном программном обеспечении и прикладном программном обеспечении
35.	Угроза возникновения ошибок функционирования системного программного обеспечения, реализация недекларированных возможностей системного программного обеспечения	-¹⁾	-¹⁾
36.	Угроза использования встроенных недекларированных возможностей для получения несанкционированного доступа к информационной системе	-¹⁾	-¹⁾
V. Угрозы, не являющиеся атаками
37.	Угроза исчерпания вычислительных ресурсов хранилища больших данных	внутренний нарушитель с низким потенциалом	информационная система
38.	Угроза невозможности восстановления сессии работы на автоматизированном рабочем месте при выводе из промежуточных состояний питания	внутренний нарушитель с низким потенциалом	рабочая станция; носитель информации; системное программное обеспечение, метаданные; объекты файловой системы; реестр операционной системы
39.	Угроза неконтролируемого копирования данных внутри хранилища больших данных	внутренний нарушитель с низким потенциалом	хранилище больших данных; метаданные; защищаемые данные
40.	Угроза неконтролируемого уничтожения информации хранилищем больших данных	внутренний нарушитель с низким потенциалом	хранилище больших данных; метаданные; защищаемые данные
41.	Угроза выхода из строя (отказа) отдельных технических, программных средств, каналов связи	-¹⁾	-¹⁾
VI. Угрозы несанкционированного доступа, создающие предпосылки для реализации несанкционированного доступа в результате нарушения процедуры авторизации и аутентификации
42.	Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	сетевой узел; сетевое программное обеспечение; метаданные; учетные данные пользователя
43.	Угроза обхода некорректно настроенных механизмов аутентификации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; сетевое программное обеспечение
44.	Угроза получения доступа к информационной системе, ее компонентам, информации, обрабатываемой информационной системой без прохождения процедуры идентификации и аутентификации²⁾	-¹⁾	-¹⁾
45.	Угроза получения доступа к информационной системе вследствие ошибок подсистемы идентификации и аутентификации²⁾	-¹⁾	-¹⁾
46.	Угроза получения несанкционированного доступа в результате сбоев (ошибок) подсистемы идентификации и аутентификации²⁾	-¹⁾	-¹⁾
47.	Угроза получения несанкционированного доступа сторонними лицами, устройствами²⁾	-¹⁾	-¹⁾
48.	Угроза отсутствия (слабости) процедур аутентификации при доступе пользователей (устройств) к ресурсам информационной системы	-¹⁾	-¹⁾
49.	Угрозы авторизации с использованием устаревших, но неотключенных учетных записей²⁾	-¹⁾	-¹⁾
50.	Угроза использования «слабых» методов идентификации и аутентификации пользователей, в том числе при использовании удаленного доступа	-¹⁾	-¹⁾
51.	Угроза применения только программных методов двухфакторной аутентификации	-¹⁾	-¹⁾
52.	Угроза использования долговременных паролей для подключения к информационной системе посредством удаленного доступа	-¹⁾	-¹⁾
53.	Угроза передачи аутентифицирующей информации по открытым каналам связи без использования средства криптографической защиты информации	-¹⁾	-¹⁾
54.	Угроза доступа к информационной системе неаутентифицированных устройств и пользователей	-¹⁾	-¹⁾
55.	Угроза повторного использования идентификаторов в течение как минимум 1 года	-¹⁾	-¹⁾
56.	Угроза использования идентификаторов, не используемых более 45 дней	-¹⁾	-¹⁾
57.	Угроза раскрытия используемых идентификаторов пользователя в публичном доступе	-¹⁾	-¹⁾
58.	Отсутствие управления идентификаторами внешних пользователей	-¹⁾	-¹⁾
59.	Угроза использования «слабых» (предсказуемых) паролей	-¹⁾	-¹⁾
60.	Отсутствие отказоустойчивой централизованной системы идентификации и аутентификации	-¹⁾	-¹⁾
61.	Угроза использования пользователями идентичных идентификаторов в разных информационных системах	-¹⁾	-¹⁾
62.	Угроза использования неподписанных программных средств	-¹⁾	-¹⁾
63.	Угроза запуска несанкционированных процессов и служб от имени системных пользователей	-¹⁾	-¹⁾
64.	Угроза отсутствия регламента работы с персональными идентификаторами	-¹⁾	-¹⁾
65.	Отсутствие в централизованной системе идентификации и аутентификации атрибутов, позволяющих однозначно определить внешних и внутренних пользователей	-¹⁾	-¹⁾
66.	Угроза бесконтрольного доступа пользователей к процессу загрузки	-¹⁾	-¹⁾
67.	Угроза подмены (модификации) базовой системы ввода-вывода, программного обеспечения телекоммуникационного оборудования	-¹⁾	-¹⁾
VII. Угрозы несанкционированного доступа к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом
68.	Угроза воздействия на программы с высокими привилегиями	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	информационная система; виртуальная машина; сетевое программное обеспечение; сетевой трафик
69.	Угроза доступа к защищаемым файлам с использованием обходного пути	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	объекты файловой системы
70.	Угроза доступа к локальным файлам сервера при помощи единого определителя ресурса (URL)	внешний нарушитель со средним потенциалом	сетевое программное обеспечение
71.	Угроза изменения системных и глобальных переменных	внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
72.	Угроза использования альтернативных путей доступа к ресурсам	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	сетевой узел; объекты файловой системы; прикладное программное обеспечение; системное программное обеспечение
73.	Угроза использования информации идентификации (аутентификации), заданной по умолчанию	внешний нарушитель со средним потенциалом; внутренний нарушитель с низким потенциалом	средства защиты информации; системное программное обеспечение; сетевое программное обеспечение; микропрограммное обеспечение; программно-аппаратные средства со встроенными функциями защиты
74.	Угроза использования механизмов авторизации для повышения привилегий	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
75.	Угроза неправомерного ознакомления с защищаемой информацией	внутренний нарушитель с низким потенциалом	аппаратное обеспечение; носители информации; объекты файловой системы
76.	Угроза несанкционированного доступа к аутентификационной информации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; объекты файловой системы; учетные данные пользователя; реестр операционной системы; машинные носители информации
77.	Угроза несанкционированного копирования защищаемой информации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	объекты файловой системы; машинный носитель информации
78.	Угроза несанкционированного редактирования реестра операционной системы	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение, использующее реестр операционной системы; реестр операционной системы
79.	Угроза несанкционированного создания учетной записи пользователя	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение
80.	Угроза несанкционированного управления буфером	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
81.	Угроза несанкционированного управления синхронизацией и состоянием системы	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение; микропрограммное обеспечение
82.	Угроза несанкционированного управления указателями	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
83.	Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; аппаратное обеспечение
84.	Угроза перехвата привилегированного потока	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
85.	Угроза перехвата привилегированного процесса	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
86.	Угроза повышения привилегий	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; сетевое программное обеспечение; информационная система
87.	Угроза подделки записей журнала регистрации событий	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение
88.	Угроза удаления аутентификационной информации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; микропрограммное обеспечение; учетные данные пользователя
89.	Угроза «форсированного веб-браузинга»	внешний нарушитель с низким потенциалом	сетевой узел; сетевое программное обеспечение
90.	Угроза получения несанкционированного доступа к средствам управления персональными идентификаторами (учетными записями), в том числе с повышенными правами доступа²⁾	-¹⁾	-¹⁾
91.	Угроза получения доступа к данным в обход механизмов разграничения доступа, в том числе с повышенными правами доступа²⁾	-¹⁾	-¹⁾
92.	Угроза бесконтрольной передачи данных как внутри информационной системы, так и между информационными системами²⁾	-¹⁾	-¹⁾
93.	Угроза получения дополнительных данных, не предусмотренных технологией обработки²⁾	-¹⁾	-¹⁾
94.	Угроза получения пользователями и лицами, обеспечивающими функционирование информационной системы персональных данных, доступа к данным и полномочиям, не предназначенным для данных лиц в связи с их должностными обязанностями²⁾	-¹⁾	-¹⁾
95.	Угроза предоставления прав доступа, не необходимых для исполнения должностных обязанностей и функционирования информационной системы, для совершения деструктивных действий²⁾	-¹⁾	-¹⁾
96.	Отсутствие ограничения на количество неудачных попыток входа в информационную систему²⁾	-¹⁾	-¹⁾
97.	Угроза использования (подключения) к открытому (незаблокированному) сеансу пользователя²⁾	-¹⁾	-¹⁾
98.	Угроза использования ресурсов информационной системы до прохождения процедур идентификации и авторизации²⁾	-¹⁾	-¹⁾
99.	Угрозы несанкционированного подключения к информационной системе с использованием санкционированной сессии удаленного доступа²⁾	-¹⁾	-¹⁾
100.	Угроза подбора идентификационных данных для удаленного доступа к информационной системе²⁾	-¹⁾	-¹⁾
101.	Угроза использования слабостей (уязвимостей) защиты протоколов удаленного доступа²⁾	-¹⁾	-¹⁾
102.	Угроза получения доступа к информационной системе с использованием технологий беспроводного доступа с неконтролируемых устройств²⁾	-¹⁾	-¹⁾
103.	Угроза несанкционированной автоматической передачи конфиденциальной информации на запросы сторонних информационных систем²⁾	-¹⁾	-¹⁾
104.	Угроза получения несанкционированного доступа к средствам управления персональными идентификаторами (учетными записями), в том числе с повышенными правами доступа²⁾	-¹⁾	-¹⁾
105.	Угроза получения несанкционированного доступа к средствам управления средствами идентификации и аутентификации²⁾	-¹⁾	-¹⁾
106.	Угроза перехвата идентифицирующих и аутентифицирующих данных в процессе идентификации и аутентификации пользователей²⁾	-¹⁾	-¹⁾
107.	Угроза бесконтрольного доступа к информации неопределенным кругом лиц²⁾	-¹⁾	-¹⁾
108.	Угроза получения доступа к данным, не предназначенным для пользователя²⁾	-¹⁾	-¹⁾
109.	Угроза удаленного управления и использования периферийных устройств для получения информации или выполнения иных деструктивных целей²⁾	-¹⁾	-¹⁾
110.	Угроза модификации, подмены, удаления атрибутов безопасности (меток безопасности) при взаимодействии с иными информационными системами²⁾	-¹⁾	-¹⁾
111.	Угроза использования встроенных в информационную систему недекларированных возможностей, скрытых каналов передачи информации в обход реализованных мер защиты	-¹⁾	-¹⁾
112.	Отсутствие отказоустойчивых централизованных средств управления учетными записями	-¹⁾	-¹⁾
113.	Отсутствие автоматического блокирования учетных записей по истечении их срока действия в результате исчерпания попыток доступа к информационной системе, выявления попыток несанкционированного доступа	-¹⁾	-¹⁾
114.	Угроза отсутствия необходимых методов управления доступом для разграничения прав доступа в соответствии с технологией обработки и угрозами безопасности информации	-¹⁾	-¹⁾
115.	Угроза передачи информации разной степени конфиденциальности без разграничения информационных потоков	-¹⁾	-¹⁾
116.	Угроза передачи информации без соблюдения атрибутов (меток) безопасности, связанных с передаваемой информацией	-¹⁾	-¹⁾
117.	Отсутствие динамического анализа и управления информационными потоками в зависимости от состояния информационной системы, условий ее функционирования, изменений в технологии обработки, передаваемых данных	-¹⁾	-¹⁾
118.	Угроза обхода правил управления информационными потоками за счет манипуляций с передаваемыми данными	-¹⁾	-¹⁾
119.	Угроза несанкционированного доступа к средствам управления информационными потоками	-¹⁾	-¹⁾
120.	Угроза возложения функционально различных должностных обязанностей (ролей) на одно должностное лицо	-¹⁾	-¹⁾
121.	Угроза предоставления расширенных прав и привилегий пользователям, в том числе внешним	-¹⁾	-¹⁾
122.	Отсутствие информирования пользователя о применении средств защиты информации и необходимости соблюдения установленных оператором правил и ограничений на работу с информацией, предыдущем успешном доступе к информационной системе, количестве успешных (безуспешных) попыток доступа, об изменении сведений об учетной записи пользователя, о превышении числа параллельных сеансов доступа	-¹⁾	-¹⁾
123.	Отсутствие информирования администратора о превышении числа параллельных сеансов доступа пользователями	-¹⁾	-¹⁾
124.	Угроза использования одних и тех же учетных записей для параллельного доступа к информационной системе с двух и более различных устройств	-¹⁾	-¹⁾
125.	Отсутствие блокирования сеанса пользователя (на мониторе пользователя не должна отображаться информация сеанса пользователя) после времени бездействия 5 минут	-¹⁾	-¹⁾
126.	Угроза использования незавершенных сеансов пользователей	-¹⁾	-¹⁾
127.	Угроза наличия удаленного доступа от имени привилегированных пользователей для администрирования информационной системы, системы защиты, в том числе с использованием технологий беспроводного доступа	-¹⁾	-¹⁾
128.	Отсутствие автоматизированного мониторинга и контроля удаленного доступа	-¹⁾	-¹⁾
129.	Угроза использования уязвимых (незащищенных) технологий удаленного доступа	-¹⁾	-¹⁾
130.	Угроза взаимодействия с иными информационными системами, не обеспеченными системой защиты	-¹⁾	-¹⁾
131.	Отсутствие механизмов автоматизированного контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации	-¹⁾	-¹⁾
132.	Отсутствие механизмов автоматизированного реагирования на несанкционированное изменение параметров настройки компонентов программного обеспечения, влияющих на безопасность информации	-¹⁾	-¹⁾
133.	Отсутствие контроля за используемыми интерфейсами ввода/вывода	-¹⁾	-¹⁾
VIII. Угрозы ошибок (внесения уязвимостей) при проектировании, внедрении информационной системы и ее системы информационной безопасности
134.	Угроза внедрения системной избыточности	внутренний нарушитель со средним потенциалом	программное обеспечение; информационная система; ключевая система информационной инфраструктуры
135.	Угроза ошибок при моделировании угроз и нарушителей информационной безопасности²⁾	-¹⁾	-¹⁾
136.	Угроза внедрения системы защиты, не обеспечивающей нивелирования актуальных угроз и нарушителей информационной безопасности²⁾	-¹⁾	-¹⁾
IX. Угрозы ошибочных (деструктивных) действий лиц
137.	Угроза подмены действия пользователя путем обмана	внешний нарушитель со средним потенциалом	прикладное программное обеспечение; сетевое программное обеспечение
138.	Угроза «фишинга»	внешний нарушитель с низким потенциалом	рабочая станция; сетевое программное обеспечение; сетевой трафик
139.	Реализация угроз с использованием возможности непосредственного доступа к техническим и части программных средств информационной системы, средств защиты информации и средств криптографической защиты информации, в соответствии с установленными для них административными полномочиями²⁾	-¹⁾	-¹⁾
140.	Внесение изменений в конфигурацию программных и технических средств в соответствии с установленными полномочиями, приводящими к отключению (частичному отключению) информационной системы, модулей, компонентов, сегментов информационной системы, средств защиты информации (в случае сговора с внешними нарушителями безопасности информации)²⁾	-¹⁾	-¹⁾
141.	Создание неконтролируемых точек доступа (лазеек) в систему для удаленного доступа к информационной системе²⁾	-¹⁾	-¹⁾
142.	Переконфигурирование средств защиты информации и средств криптографической защиты информации для реализации угроз информационной системе²⁾	-¹⁾	-¹⁾
143.	Осуществление угроз с использованием локальных линий связи, систем электропитания и заземления²⁾	-¹⁾	-¹⁾
144.	Хищение ключей шифрования, идентификаторов и известных паролей²⁾	-¹⁾	-¹⁾
145.	Внесение программно-аппаратных закладок в программно-аппаратные средства информационной системы, обеспечивающих съем информации, используя непосредственное подключение к техническим средствам обработки информации²⁾	-¹⁾	-¹⁾
146.	Создание методов и средств реализации атак, а также самостоятельное проведение атаки	-¹⁾	-¹⁾
147.	Ошибки при конфигурировании и обслуживании модулей (компонентов) информационной системы	-¹⁾	-¹⁾
148.	Создание ситуаций, препятствующих функционированию сети (остановка, сбой серверов; уничтожение и (или) модификация программного обеспечения; создание множественных, ложных информационных сообщений). Несанкционированный съем информации, блокирование работы отдельных пользователей, перестройка планов маршрутизации и политик доступа сети	-¹⁾	-¹⁾
149.	Разглашение персональных данных лицам, не имеющим права доступа к ним	-¹⁾	-¹⁾
150.	Нарушение правил хранения ключевой информации	-¹⁾	-¹⁾
151.	Передача защищаемой информации по открытым каналам связи	-¹⁾	-¹⁾
152.	Несанкционированная модификация (уничтожение) информации легитимным пользователем	-¹⁾	-¹⁾
153.	Копирование информации на незарегистрированный носитель информации, в том числе печать	-¹⁾	-¹⁾
154.	Несанкционированное отключение средств защиты	-¹⁾	-¹⁾
X. Угрозы получения нарушителем сведений о структуре, конфигурации и настройках информационной системы и ее системы защиты
155.	Угроза исследования приложения через отчеты об ошибках	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение; микропрограммное обеспечение
156.	Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб	внешний нарушитель с низким потенциалом	сетевой узел; сетевое программное обеспечение; сетевой трафик
157.	Угроза обнаружения хостов	внешний нарушитель с низким потенциалом	сетевой узел; сетевое программное обеспечение; сетевой трафик
158.	Угроза определения типов объектов защиты	внешний нарушитель с низким потенциалом	сетевой узел; сетевое программное обеспечение; сетевой трафик
159.	Угроза определения топологии вычислительной сети	внешний нарушитель с низким потенциалом	сетевой узел; сетевое программное обеспечение; сетевой трафик
160.	Угроза получения предварительной информации об объекте защиты	внешний нарушитель со средним потенциалом	сетевой узел; сетевое программное обеспечение; сетевой трафик; прикладное программное обеспечение
161.	Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL	внешний нарушитель с низким потенциалом	сетевое программное обеспечение; сетевой узел
162.	Сканирование сети для изучения логики работы информационной системы, выявления протоколов, портов²⁾	-¹⁾	-¹⁾
163.	Анализ сетевого трафика для изучения логики работы информационной системы, выявления протоколов, портов, перехвата служебных данных (в том числе идентификаторов и паролей), их подмены²⁾	-¹⁾	-¹⁾
164.	Применение специальных программ для выявления пароля (IP-спуфинг, разные виды перебора)²⁾	-¹⁾	-¹⁾
XI. Угрозы программно-математических воздействий
165.	Угроза внедрения кода или данных	внешний нарушитель с низким потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
166.	Угроза восстановления аутентификационной информации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; микропрограммное обеспечение; учетные данные пользователя
167.	Угроза деструктивного изменения конфигурации (среды окружения) программ	внутренний нарушитель с низким потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение; микропрограммное обеспечение; метаданные; объекты файловой системы; реестр операционной системы
168.	Угроза избыточного выделения оперативной памяти	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	аппаратное обеспечение; системное программное обеспечение; сетевое программное обеспечение
169.	Угроза искажения XML-схемы	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	сетевой узел; сетевое программное обеспечение; сетевой трафик
170.	Угроза использования слабостей кодирования входных данных	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение; микропрограммное обеспечение; реестр операционной системы
171.	Угроза межсайтового скриптинга	внешний нарушитель с низким потенциалом	сетевой узел; сетевое программное обеспечение
172.	Угроза межсайтовой подделки запроса	внешний нарушитель со средним потенциалом	сетевой узел; сетевое программное обеспечение
173.	Угроза пропуска проверки целостности программного обеспечения	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
174.	Угроза неправомерного шифрования информации	внешний нарушитель с низким потенциалом	объект файловой системы
175.	Угроза скрытного включения вычислительного устройства в состав бот-сети	внешний нарушитель с низким потенциалом	сетевой узел; сетевое программное обеспечение
176.	Угроза распространения «почтовых червей»	внешний нарушитель с низким потенциалом	сетевое программное обеспечение
177.	Внедрение программных закладок²⁾	-¹⁾	-¹⁾
178.	Угроза внедрения в информационную систему вредоносного программного обеспечения с устройств, подключаемых с использованием технологий беспроводного доступа²⁾	-¹⁾	-¹⁾
179.	Применение специально созданных программных продуктов для несанкционированного доступа²⁾	-¹⁾	-¹⁾
180.	Угроза внедрения через легитимные схемы информационного обмена между информационными системами вредоносного программного обеспечения²⁾	-¹⁾	-¹⁾
181.	Отсутствие централизованной системы управления средствами антивирусной защиты	-¹⁾	-¹⁾
XII. Угрозы, связанные с использованием «облачных» услуг
182.	Угроза злоупотребления возможностями, предоставленными потребителям «облачных» услуг	внутренний нарушитель с низким потенциалом	«облачная» система; виртуальная машина
183.	Угроза злоупотребления доверием потребителей «облачных» услуг	внешний нарушитель с низким потенциалом	«облачная» система
184.	Угроза нарушения доступности «облачного» сервера	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	«облачная» система; «облачный» сервер
185.	Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения	внешний нарушитель с низким потенциалом	«облачная» инфраструктура; виртуальная машина; аппаратное обеспечение; системное программное обеспечение
186.	Угроза недобросовестного исполнения обязательств поставщиками «облачных» услуг	внешний нарушитель с низким потенциалом	информационная система; сервер; носитель информации; метаданные; объекты файловой системы
187.	Угроза незащищенного администрирования «облачных» услуг	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	«облачная» система; рабочая станция; сетевое программное обеспечение
188.	Угроза некачественного переноса инфраструктуры в «облако»	внешний нарушитель с низким потенциалом	информационная система, иммигрированная в «облако»; «облачная» система
189.	Угроза неконтролируемого роста числа виртуальных машин	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	«облачная» система; консоль управления «облачной» инфраструктурой; «облачная» инфраструктура
190.	Угроза некорректной реализации политики лицензирования в «облаке»	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
191.	Угроза неопределенности в распределении ответственности между ролями в «облаке»	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение
192.	Угроза неопределенности ответственности за обеспечение безопасности «облака»	внешний нарушитель с низким потенциалом	«облачная» система
193.	Угроза непрерывной модернизации «облачной» инфраструктуры	внутренний нарушитель со средним потенциалом	«облачная» инфраструктура
194.	Угроза несогласованности политик безопасности элементов «облачной» инфраструктуры	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	системное программное обеспечение; «облачная» система
195.	Угроза общедоступности «облачной» инфраструктуры	внешний нарушитель со средним потенциалом	объекты файловой системы; аппаратное обеспечение; «облачный» сервер
196.	Угроза потери доверия к поставщику «облачных» услуг	внутренний нарушитель со средним потенциалом	объекты файловой системы; информационная система, иммигрированная в «облако»
197.	Угроза потери и утечки данных, обрабатываемых в «облаке»	внутренний нарушитель с низким потенциалом	системное программное обеспечение; метаданные; объекты файловой системы
198.	Угроза потери управления «облачными» ресурсами	внешний нарушитель с высоким потенциалом	сетевой трафик; объекты файловой системы
199.	Угроза потери управления собственной инфраструктурой при переносе ее в «облако»	внутренний нарушитель со средним потенциалом	информационная система, иммигрированная в «облако»; системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение
200.	Угроза привязки к поставщику «облачных» услуг	внутренний нарушитель с низким потенциалом	информационная система, иммигрированная в облако; системное программное обеспечение; сетевое программное обеспечение; сетевой трафик; объекты файловой системы
201.	Угроза приостановки оказания «облачных» услуг вследствие технических сбоев	-¹⁾	системное программное обеспечение; аппаратное обеспечение; канал связи
202.	Угроза распространения состояния «отказ в обслуживании» в «облачной» инфраструктуре	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	«облачная» инфраструктура, созданная с использованием технологий виртуализации
XIII. Угрозы, связанные с использованием технологий виртуализации
203.	Угроза выхода процесса за пределы виртуальной машины	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	информационная система; сетевой узел; носитель информации; объекты файловой системы; учетные данные пользователя; образ виртуальной машины
204.	Угроза нарушения изоляции пользовательских данных внутри виртуальной машины	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	виртуальная машина; гипервизор
205.	Угроза нарушения технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	образ виртуальной машины; сетевой узел; сетевое программное обеспечение; виртуальная машина
206.	Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	информационная система; сервер
207.	Угроза несанкционированного доступа к виртуальным каналам передачи	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	сетевое программное обеспечение; сетевой трафик; виртуальные устройства
208.	Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	сервер; рабочая станция; виртуальная машина; гипервизор; машинный носитель информации; метаданные
209.	Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	виртуальная машина
210.	Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	виртуальная машина
211.	Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	виртуальные устройства хранения данных; виртуальные диски
212.	Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	носитель информации; объекты файловой системы
213.	Угроза ошибки обновления гипервизора	внутренний нарушитель с низким потенциалом	системное программное обеспечение; гипервизор
214.	Угроза перехвата управления гипервизором	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	системное программное обеспечение; гипервизор; консоль управления гипервизором
215.	Угроза перехвата управления средой виртуализации	внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом	информационная система; системное программное обеспечение
216.	Нарушение доверенной загрузки виртуальных серверов информационных систем, перехват загрузки²⁾	-¹⁾	-¹⁾
217.	Нарушение целостности конфигурации виртуальных серверов-подмена (искажение) образов (данных и оперативной памяти)²⁾	-¹⁾	-¹⁾
218.	Угроза несанкционированного доступа к консоли управления виртуальной инфраструктурой²⁾	-¹⁾	-¹⁾
219.	Угроза несанкционированного доступа к виртуальному серверу информационной системы, в том числе несанкционированного сетевого подключения и проведения сетевых атак на виртуальный сервер информационной системы²⁾	-¹⁾	-¹⁾
220.	Угроза несанкционированного доступа к ресурсам гипервизора вследствие сетевых атак типа «переполнение буфера»²⁾	-¹⁾	-¹⁾
221.	Угроза несанкционированного доступа к объектам виртуальной инфраструктуры без прохождения процедуры идентификации и аутентификации²⁾	-¹⁾	-¹⁾
222.	Угроза несанкционированного доступа к виртуальной инфраструктуре (компонентам виртуальной инфраструктуры или виртуальным машинам или объектам внутри виртуальных машин)²⁾	-¹⁾	-¹⁾
223.	Угроза отсутствия средств регистрации событий в виртуальной инфраструктуре²⁾	-¹⁾	-¹⁾
XIV. Угрозы, связанные с нарушением правил эксплуатации машинных носителей
224.	Угроза несанкционированного восстановления удаленной защищаемой информации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	машинный носитель информации
225.	Угроза несанкционированного удаления защищаемой информации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	метаданные; объекты файловой системы; реестр операционной системы
226.	Угроза утраты носителей информации	внутренний нарушитель с низким потенциалом	носитель информации
227.	Угроза форматирования носителей информации	внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом	носитель информации
228.	Повреждение носителя информации	-¹⁾	-¹⁾
229.	Доступ к снятым с эксплуатации носителям информации (содержащим остаточные данные)	-¹⁾	-¹⁾
230.	Угроза подключения к информационной системе неучтенных машинных носителей²⁾	-¹⁾	-¹⁾
231.	Угроза подключения к информационной системе не персонифицированных машинных носителей	-¹⁾	-¹⁾
232.	Угроза несанкционированного копирования информации на машинные носители²⁾	-¹⁾	-¹⁾
233.	Угроза несанкционированной модификации (удаления) информации на машинных носителях²⁾	-¹⁾	-¹⁾
234.	Угроза хищения машинных носителей²⁾	-¹⁾	-¹⁾
235.	Угроза подмены машинных носителей²⁾	-¹⁾	-¹⁾
236.	Угроза встраивания программно-аппаратных закладок в машинные носители²⁾	-¹⁾	-¹⁾
237.	Угроза несанкционированного доступа к информации, хранящейся на машинном носителе²⁾	-¹⁾	-¹⁾
238.	Угроза использования машинных носителей для хранения информации разных уровней конфиденциальности и целей обработки	-¹⁾	-¹⁾
239.	Угроза использования неконтролируемых портом средства вычислительной техники для вывода информации на сторонние машинные носители²⁾	-¹⁾	-¹⁾
240.	Угроза передачи информации (фрагментов информации) между пользователями, сторонними организациями при неполном уничтожении (стирании) информации с машинных носителей²⁾	-¹⁾	-¹⁾
241.	Угроза несанкционированного использования машинных носителей	-¹⁾	-¹⁾
242.	Угроза несанкционированного выноса машинных носителей за пределы контролируемой зоны	-¹⁾	-¹⁾
XV. Угрозы, связанные с нарушением процедур установки (обновления) программного обеспечения и оборудования
243.	Угроза запуска (установки) вредоносного (шпионского или неразрешенного) программного обеспечения и (или) обновлений программного обеспечения²⁾	-¹⁾	-¹⁾
244.	Установка программного обеспечения, содержащего известные уязвимости²⁾	-¹⁾

№ п/п

Наименование угрозы безопасности

персональных данных

Наименование

источника угроз

безопасности

персональных данных

Наименование объекта воздействия

I. Угрозы использования штатных средств информационной системы с целью совершения несанкционированного

доступа к информации

Угроза некорректного использования функционала программного обеспечения

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение;

микропрограммное обеспечение;

аппаратное обеспечение

Угроза неправомерного (некорректного) использования интерфейса взаимодействия с приложением

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение;

микропрограммное обеспечение;

реестр операционной системы

Угроза несанкционированного изменения аутентификационной информации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

объекты файловой системы, учетные данные пользователя;

реестр операционной системы

Доступ в операционную среду (локальную операционную систему отдельного технического средства информационной системы) с возможностью получения несанкционированного доступа вызовом штатных процедур или запуска специально разработанных программ

-¹⁾

II. Угрозы нарушения доступности информации

Угроза длительного удержания вычислительных ресурсов пользователями

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

информационная система;

сетевой узел;

носитель информации;

системное программное обеспечение;

сетевое программное обеспечение;

сетевой трафик

Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

гипервизор

Угроза повреждения системного реестра

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

объекты файловой системы;

реестр операционной системы

Угроза приведения системы в состояние

«отказ в обслуживании»

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

информационная система;

сетевой узел;

системное программное обеспечение;

сетевое программное обеспечение;

сетевой трафик

Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

информационная система;

сетевой узел;

системное программное обеспечение;

сетевое программное обеспечение

10.

Угроза утраты вычислительных ресурсов

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

информационная система;

сетевой узел;

носитель информации;

системное программное обеспечение;

сетевое программное обеспечение;

сетевой трафик

11.

Угроза вывода из строя (выхода из строя) отдельных технических средств²⁾

-¹⁾

12.

Угроза вывода из строя незарезервированных технических (программных) средств (каналов связи)

-¹⁾

13.

Угроза отсутствия актуальных резервных копий²⁾

-¹⁾

14.

Угроза потери информации в процессе ее обработки технически и (или) программными средствами и при передаче по каналам связи²⁾

-¹⁾

15.

Угроза переполнения канала связи вследствие множества параллельных попыток авторизации²⁾

-¹⁾

16.

Угроза нехватки ресурсов информационных систем для выполнения штатных задач в результате обработки множества параллельных задач, выполняемых одной учетной записью²⁾

-¹⁾

III. Угрозы нарушения целостности информации

17.

Угроза нарушения целостности данных кэша

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

сетевое программное обеспечение

18.

Угроза некорректного задания структуры данных транзакции

внутренний нарушитель со средним потенциалом

сетевой трафик;

база данных;

сетевое программное обеспечение

19.

Угроза сбоя обработки файлов, измененных специальным образом

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

метаданные;

объекты файловой системы; системное программное обеспечение

20.

Угроза отсутствия контроля целостности обрабатываемой в информационной системе информации, применяемого программного обеспечения, в том числе средств защиты информации²⁾

-¹⁾

21.

Угроза отсутствия целостных резервных копий информации, программного обеспечения, средств защиты информации в случае реализации угроз информационной безопасности²⁾

-¹⁾

22.

Угроза отсутствия контроля за поступающими в информационную систему данными, в том числе незапрашиваемыми²⁾

-¹⁾

23.

Отсутствие средств централизованного управления за поступающими в информационную систему данными, в том числе незапрашиваемыми

-¹⁾

24.

Отсутствие автоматизированных фильтров, осуществляющих обработку поступающей в информационную систему информации

-¹⁾

25.

Угроза доступа в информационную систему информации от неаутентифицированных серверов (пользователей)

-¹⁾

26.

Угроза отсутствия контроля за данными, передаваемыми из информационной системы²⁾

-¹⁾

27.

Отсутствие резервного копирования информации, передаваемой из информационной системы

-¹⁾

28.

Угроза ввода (передачи) недостоверных (ошибочных) данных²⁾

-¹⁾

29.

Угроза подмены используемых информационной системой файлов²⁾

-¹⁾

30.

Угроза модификации (удаления) файлов журналов системного, прикладного программного обеспечения, средств защиты²⁾

-¹⁾

31.

Угроза установки (запуска) модифицированного программного обеспечения и (или) модифицированных обновлений программного обеспечения

-¹⁾

32.

Угроза модификации, стирания или удаления данных системы регистрации событий информационной безопасности

-¹⁾

33.

Отсутствие графика осуществления контроля целостности применяемых программных средств, в том числе средств защиты информации

-¹⁾

34.

Угроза отсутствия контроля целостности информации, обрабатываемой информационной системой, и ее структуры

-¹⁾

IV. Угрозы недекларированных возможностей в системном программном обеспечении и

прикладном программном обеспечении

35.

Угроза возникновения ошибок функционирования системного программного обеспечения, реализация недекларированных возможностей системного программного обеспечения

-¹⁾

36.

Угроза использования встроенных недекларированных возможностей для получения несанкционированного доступа к информационной системе

-¹⁾

V. Угрозы, не являющиеся атаками

37.

Угроза исчерпания вычислительных ресурсов хранилища больших данных

внутренний нарушитель с низким потенциалом

информационная система

38.

Угроза невозможности восстановления сессии работы на автоматизированном рабочем месте при выводе из промежуточных состояний питания

внутренний нарушитель с низким потенциалом

рабочая станция;

носитель информации;

системное программное обеспечение, метаданные;

объекты файловой системы;

реестр операционной системы

39.

Угроза неконтролируемого копирования данных внутри хранилища больших данных

внутренний нарушитель с низким потенциалом

хранилище больших данных; метаданные;

защищаемые данные

40.

Угроза неконтролируемого уничтожения информации хранилищем больших данных

внутренний нарушитель с низким потенциалом

хранилище больших данных; метаданные;

защищаемые данные

41.

Угроза выхода из строя (отказа) отдельных технических, программных средств, каналов связи

-¹⁾

VI. Угрозы несанкционированного доступа, создающие предпосылки для реализации несанкционированного доступа в результате нарушения процедуры авторизации и аутентификации

42.

Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

сетевой узел;

сетевое программное обеспечение;

метаданные;

учетные данные пользователя

43.

Угроза обхода некорректно настроенных механизмов аутентификации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

сетевое программное обеспечение

44.

Угроза получения доступа к информационной системе, ее компонентам, информации, обрабатываемой информационной системой без прохождения процедуры идентификации и аутентификации²⁾

-¹⁾

45.

Угроза получения доступа к информационной системе вследствие ошибок подсистемы идентификации и аутентификации²⁾

-¹⁾

46.

Угроза получения несанкционированного доступа в результате сбоев (ошибок) подсистемы идентификации и аутентификации²⁾

-¹⁾

47.

Угроза получения несанкционированного доступа сторонними лицами, устройствами²⁾

-¹⁾

48.

Угроза отсутствия (слабости) процедур аутентификации при доступе пользователей (устройств) к ресурсам информационной системы

-¹⁾

49.

Угрозы авторизации с использованием устаревших, но неотключенных учетных записей²⁾

-¹⁾

50.

Угроза использования «слабых» методов идентификации и аутентификации пользователей, в том числе при использовании удаленного доступа

-¹⁾

51.

Угроза применения только программных методов двухфакторной аутентификации

-¹⁾

52.

Угроза использования долговременных паролей для подключения к информационной системе посредством удаленного доступа

-¹⁾

53.

Угроза передачи аутентифицирующей информации по открытым каналам связи без использования средства криптографической защиты информации

-¹⁾

54.

Угроза доступа к информационной системе неаутентифицированных устройств и пользователей

-¹⁾

55.

Угроза повторного использования идентификаторов в течение как минимум 1 года

-¹⁾

56.

Угроза использования идентификаторов, не используемых более 45 дней

-¹⁾

57.

Угроза раскрытия используемых идентификаторов пользователя в публичном доступе

-¹⁾

58.

Отсутствие управления идентификаторами внешних пользователей

-¹⁾

59.

Угроза использования «слабых» (предсказуемых) паролей

-¹⁾

60.

Отсутствие отказоустойчивой централизованной системы идентификации и аутентификации

-¹⁾

61.

Угроза использования пользователями идентичных идентификаторов в разных информационных системах

-¹⁾

62.

Угроза использования неподписанных программных средств

-¹⁾

63.

Угроза запуска несанкционированных процессов и служб от имени системных пользователей

-¹⁾

64.

Угроза отсутствия регламента работы с персональными идентификаторами

-¹⁾

65.

Отсутствие в централизованной системе идентификации и аутентификации атрибутов, позволяющих однозначно определить внешних и внутренних пользователей

-¹⁾

66.

Угроза бесконтрольного доступа пользователей к процессу загрузки

-¹⁾

67.

Угроза подмены (модификации) базовой системы ввода-вывода, программного обеспечения телекоммуникационного оборудования

-¹⁾

VII. Угрозы несанкционированного доступа к информации в результате слабости процедур разграничения ролей и полномочий, правил управления доступом

68.

Угроза воздействия на программы с высокими привилегиями

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

информационная система; виртуальная машина;

сетевое программное обеспечение;

сетевой трафик

69.

Угроза доступа к защищаемым файлам с использованием обходного пути

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

объекты файловой системы

70.

Угроза доступа к локальным файлам сервера при помощи единого определителя ресурса (URL)

внешний нарушитель со средним потенциалом

сетевое программное обеспечение

71.

Угроза изменения системных и глобальных переменных

внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

72.

Угроза использования альтернативных путей доступа к ресурсам

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

сетевой узел;

объекты файловой системы; прикладное программное обеспечение;

системное программное обеспечение

73.

Угроза использования информации идентификации (аутентификации), заданной по умолчанию

внешний нарушитель со средним потенциалом; внутренний нарушитель с низким потенциалом

средства защиты информации; системное программное обеспечение; сетевое программное обеспечение; микропрограммное обеспечение; программно-аппаратные средства со встроенными функциями защиты

74.

Угроза использования механизмов авторизации для повышения привилегий

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

75.

Угроза неправомерного ознакомления с защищаемой информацией

внутренний нарушитель с низким потенциалом

аппаратное обеспечение;

носители информации;

объекты файловой системы

76.

Угроза несанкционированного доступа к аутентификационной информации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

объекты файловой системы;

учетные данные пользователя;

реестр операционной системы; машинные носители информации

77.

Угроза несанкционированного копирования защищаемой информации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

объекты файловой системы; машинный носитель информации

78.

Угроза несанкционированного редактирования реестра операционной системы

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение,

использующее реестр операционной системы;

реестр операционной системы

79.

Угроза несанкционированного создания учетной записи пользователя

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение

80.

Угроза несанкционированного управления буфером

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

81.

Угроза несанкционированного управления синхронизацией и состоянием системы

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение;

микропрограммное обеспечение

82.

Угроза несанкционированного управления указателями

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

83.

Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

аппаратное обеспечение

84.

Угроза перехвата привилегированного потока

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

85.

Угроза перехвата привилегированного процесса

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

86.

Угроза повышения привилегий

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

сетевое программное обеспечение;

информационная система

87.

Угроза подделки записей журнала регистрации событий

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение

88.

Угроза удаления аутентификационной информации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

микропрограммное обеспечение; учетные данные пользователя

89.

Угроза «форсированного веб-браузинга»

внешний нарушитель с низким потенциалом

сетевой узел;

сетевое программное обеспечение

90.

Угроза получения несанкционированного доступа к средствам управления персональными идентификаторами (учетными записями), в том числе с повышенными правами доступа²⁾

-¹⁾

91.

Угроза получения доступа к данным в обход механизмов разграничения доступа, в том числе с повышенными правами доступа²⁾

-¹⁾

92.

Угроза бесконтрольной передачи данных как внутри информационной системы, так и между информационными системами²⁾

-¹⁾

93.

Угроза получения дополнительных данных, не предусмотренных технологией обработки²⁾

-¹⁾

94.

Угроза получения пользователями и лицами, обеспечивающими функционирование информационной системы персональных данных, доступа к данным и полномочиям, не предназначенным для данных лиц в связи с их должностными обязанностями²⁾

-¹⁾

95.

Угроза предоставления прав доступа, не необходимых для исполнения должностных обязанностей и функционирования информационной системы, для совершения деструктивных действий²⁾

-¹⁾

96.

Отсутствие ограничения на количество неудачных попыток входа в информационную систему²⁾

-¹⁾

97.

Угроза использования (подключения) к открытому (незаблокированному) сеансу пользователя²⁾

-¹⁾

98.

Угроза использования ресурсов информационной системы до прохождения процедур идентификации и авторизации²⁾

-¹⁾

99.

Угрозы несанкционированного подключения
к информационной системе с использованием санкционированной сессии удаленного доступа²⁾

-¹⁾

100.

Угроза подбора идентификационных данных для удаленного доступа к информационной системе²⁾

-¹⁾

101.

Угроза использования слабостей (уязвимостей) защиты протоколов удаленного доступа²⁾

-¹⁾

102.

Угроза получения доступа к информационной системе с использованием технологий беспроводного доступа с неконтролируемых устройств²⁾

-¹⁾

103.

Угроза несанкционированной автоматической передачи конфиденциальной информации на запросы сторонних информационных систем²⁾

-¹⁾

104.

-¹⁾

105.

Угроза получения несанкционированного доступа к средствам управления средствами идентификации и аутентификации²⁾

-¹⁾

106.

Угроза перехвата идентифицирующих и аутентифицирующих данных в процессе идентификации и аутентификации пользователей²⁾

-¹⁾

107.

Угроза бесконтрольного доступа к информации неопределенным кругом лиц²⁾

-¹⁾

108.

Угроза получения доступа к данным, не предназначенным для пользователя²⁾

-¹⁾

109.

Угроза удаленного управления и использования периферийных устройств для получения информации или выполнения иных деструктивных целей²⁾

-¹⁾

110.

Угроза модификации, подмены, удаления атрибутов безопасности (меток безопасности) при взаимодействии с иными информационными системами²⁾

-¹⁾

111.

Угроза использования встроенных в информационную систему недекларированных возможностей, скрытых каналов передачи информации в обход реализованных мер защиты

-¹⁾

112.

Отсутствие отказоустойчивых централизованных средств управления учетными записями

-¹⁾

113.

Отсутствие автоматического блокирования учетных записей по истечении их срока действия в результате исчерпания попыток доступа к информационной системе, выявления попыток несанкционированного доступа

-¹⁾

114.

Угроза отсутствия необходимых методов управления доступом для разграничения прав доступа в соответствии с технологией обработки и угрозами безопасности информации

-¹⁾

115.

Угроза передачи информации разной степени конфиденциальности без разграничения информационных потоков

-¹⁾

116.

Угроза передачи информации без соблюдения атрибутов (меток) безопасности, связанных с передаваемой информацией

-¹⁾

117.

Отсутствие динамического анализа и управления информационными потоками в зависимости от состояния информационной системы, условий ее функционирования, изменений в технологии обработки, передаваемых данных

-¹⁾

118.

Угроза обхода правил управления информационными потоками за счет манипуляций с передаваемыми данными

-¹⁾

119.

Угроза несанкционированного доступа к средствам управления информационными потоками

-¹⁾

120.

Угроза возложения функционально различных должностных обязанностей (ролей) на одно должностное лицо

-¹⁾

121.

Угроза предоставления расширенных прав и привилегий пользователям, в том числе внешним

-¹⁾

122.

Отсутствие информирования пользователя о применении средств защиты информации и необходимости соблюдения установленных оператором правил и ограничений на работу с информацией, предыдущем успешном доступе к информационной системе, количестве успешных (безуспешных) попыток доступа, об изменении сведений об учетной записи пользователя, о превышении числа параллельных сеансов доступа

-¹⁾

123.

Отсутствие информирования администратора о превышении числа параллельных сеансов доступа пользователями

-¹⁾

124.

Угроза использования одних и тех же учетных записей для параллельного доступа к информационной системе с двух и более различных устройств

-¹⁾

125.

Отсутствие блокирования сеанса пользователя (на мониторе пользователя не должна отображаться информация сеанса пользователя) после времени бездействия 5 минут

-¹⁾

126.

Угроза использования незавершенных сеансов пользователей

-¹⁾

127.

Угроза наличия удаленного доступа от имени привилегированных пользователей для администрирования информационной системы, системы защиты, в том числе с использованием технологий беспроводного доступа

-¹⁾

128.

Отсутствие автоматизированного мониторинга и контроля удаленного доступа

-¹⁾

129.

Угроза использования уязвимых (незащищенных) технологий удаленного доступа

-¹⁾

130.

Угроза взаимодействия с иными информационными системами, не обеспеченными системой защиты

-¹⁾

131.

Отсутствие механизмов автоматизированного контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации

-¹⁾

132.

Отсутствие механизмов автоматизированного реагирования на несанкционированное изменение параметров настройки компонентов программного обеспечения, влияющих на безопасность информации

-¹⁾

133.

Отсутствие контроля за используемыми интерфейсами ввода/вывода

-¹⁾

VIII. Угрозы ошибок (внесения уязвимостей) при проектировании, внедрении информационной системы и

ее системы информационной безопасности

134.

Угроза внедрения системной избыточности

внутренний нарушитель со средним потенциалом

программное обеспечение; информационная система;

ключевая система информационной инфраструктуры

135.

Угроза ошибок при моделировании угроз и нарушителей информационной безопасности²⁾

-¹⁾

136.

Угроза внедрения системы защиты, не обеспечивающей нивелирования актуальных угроз и нарушителей информационной безопасности²⁾

-¹⁾

IX. Угрозы ошибочных (деструктивных) действий лиц

137.

Угроза подмены действия пользователя путем обмана

внешний нарушитель со средним потенциалом

прикладное программное обеспечение;

сетевое программное обеспечение

138.

Угроза «фишинга»

внешний нарушитель с низким потенциалом

рабочая станция;

сетевое программное обеспечение;

сетевой трафик

139.

Реализация угроз с использованием возможности непосредственного доступа к техническим и части программных средств информационной системы, средств защиты информации и средств криптографической защиты информации, в соответствии с установленными для них административными полномочиями²⁾

-¹⁾

140.

Внесение изменений в конфигурацию программных и технических средств в соответствии с установленными полномочиями, приводящими к отключению (частичному отключению) информационной системы, модулей, компонентов, сегментов информационной системы, средств защиты информации (в случае сговора с внешними нарушителями безопасности информации)²⁾

-¹⁾

141.

Создание неконтролируемых точек доступа (лазеек) в систему для удаленного доступа к информационной системе²⁾

-¹⁾

142.

Переконфигурирование средств защиты информации и средств криптографической защиты информации для реализации угроз информационной системе²⁾

-¹⁾

143.

Осуществление угроз с использованием локальных линий связи, систем электропитания и заземления²⁾

-¹⁾

144.

Хищение ключей шифрования, идентификаторов и известных паролей²⁾

-¹⁾

145.

Внесение программно-аппаратных закладок в программно-аппаратные средства информационной системы, обеспечивающих съем информации, используя непосредственное подключение к техническим средствам обработки информации²⁾

-¹⁾

146.

Создание методов и средств реализации атак, а также самостоятельное проведение атаки

-¹⁾

147.

Ошибки при конфигурировании и обслуживании модулей (компонентов) информационной системы

-¹⁾

148.

Создание ситуаций, препятствующих функционированию сети (остановка, сбой серверов; уничтожение и (или) модификация программного обеспечения; создание множественных, ложных информационных сообщений). Несанкционированный съем информации, блокирование работы отдельных пользователей, перестройка планов маршрутизации и политик доступа сети

-¹⁾

149.

Разглашение персональных данных лицам, не имеющим права доступа к ним

-¹⁾

150.

Нарушение правил хранения ключевой информации

-¹⁾

151.

Передача защищаемой информации по открытым каналам связи

-¹⁾

152.

Несанкционированная модификация (уничтожение) информации легитимным пользователем

-¹⁾

153.

Копирование информации на незарегистрированный носитель информации, в том числе печать

-¹⁾

154.

Несанкционированное отключение средств защиты

-¹⁾

X. Угрозы получения нарушителем сведений о структуре, конфигурации и настройках информационной системы и

ее системы защиты

155.

Угроза исследования приложения через отчеты об ошибках

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение;

микропрограммное обеспечение

156.

Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб

внешний нарушитель с низким потенциалом

сетевой узел;

сетевое программное обеспечение;

сетевой трафик

157.

Угроза обнаружения хостов

внешний нарушитель с низким потенциалом

сетевой узел;

сетевое программное обеспечение;

сетевой трафик

158.

Угроза определения типов объектов защиты

внешний нарушитель с низким потенциалом

сетевой узел;

сетевое программное обеспечение;

сетевой трафик

159.

Угроза определения топологии вычислительной сети

внешний нарушитель с низким потенциалом

сетевой узел;

сетевое программное обеспечение;

сетевой трафик

160.

Угроза получения предварительной информации об объекте защиты

внешний нарушитель со средним потенциалом

сетевой узел;

сетевое программное обеспечение;

сетевой трафик;

прикладное программное обеспечение

161.

Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL

внешний нарушитель с низким потенциалом

сетевое программное обеспечение;

сетевой узел

162.

Сканирование сети для изучения логики работы информационной системы, выявления протоколов, портов²⁾

-¹⁾

163.

Анализ сетевого трафика для изучения логики работы информационной системы, выявления протоколов, портов, перехвата служебных данных (в том числе идентификаторов и паролей), их подмены²⁾

-¹⁾

164.

Применение специальных программ для выявления пароля (IP-спуфинг, разные виды перебора)²⁾

-¹⁾

XI. Угрозы программно-математических воздействий

165.

Угроза внедрения кода или данных

внешний нарушитель с низким потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

166.

Угроза восстановления аутентификационной информации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

микропрограммное обеспечение; учетные данные пользователя

167.

Угроза деструктивного изменения конфигурации (среды окружения) программ

внутренний нарушитель с низким потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение;

микропрограммное обеспечение; метаданные;

объекты файловой системы;

реестр операционной системы

168.

Угроза избыточного выделения оперативной памяти

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

аппаратное обеспечение;

системное программное обеспечение;

сетевое программное обеспечение

169.

Угроза искажения XML-схемы

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

сетевой узел;

сетевое программное обеспечение;

сетевой трафик

170.

Угроза использования слабостей кодирования входных данных

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение;

микропрограммное обеспечение; реестр операционной системы

171.

Угроза межсайтового скриптинга

внешний нарушитель с низким потенциалом

сетевой узел;

сетевое программное обеспечение

172.

Угроза межсайтовой подделки запроса

внешний нарушитель со средним потенциалом

сетевой узел;

сетевое программное обеспечение

173.

Угроза пропуска проверки целостности программного обеспечения

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

174.

Угроза неправомерного шифрования информации

внешний нарушитель с низким потенциалом

объект файловой системы

175.

Угроза скрытного включения вычислительного устройства в состав бот-сети

внешний нарушитель с низким потенциалом

сетевой узел;

сетевое программное обеспечение

176.

Угроза распространения «почтовых червей»

внешний нарушитель с низким потенциалом

сетевое программное обеспечение

177.

Внедрение программных закладок²⁾

-¹⁾

178.

Угроза внедрения в информационную систему вредоносного программного обеспечения с устройств, подключаемых с использованием технологий беспроводного доступа²⁾

-¹⁾

179.

Применение специально созданных программных продуктов для несанкционированного доступа²⁾

-¹⁾

180.

Угроза внедрения через легитимные схемы информационного обмена между информационными системами вредоносного программного обеспечения²⁾

-¹⁾

181.

Отсутствие централизованной системы управления средствами антивирусной защиты

-¹⁾

XII. Угрозы, связанные с использованием «облачных» услуг

182.

Угроза злоупотребления возможностями, предоставленными потребителям «облачных» услуг

внутренний нарушитель с низким потенциалом

«облачная» система;

виртуальная машина

183.

Угроза злоупотребления доверием потребителей «облачных» услуг

внешний нарушитель с низким потенциалом

«облачная» система

184.

Угроза нарушения доступности «облачного» сервера

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

«облачная» система;

«облачный» сервер

185.

Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения

внешний нарушитель с низким потенциалом

«облачная» инфраструктура; виртуальная машина;

аппаратное обеспечение;

системное программное обеспечение

186.

Угроза недобросовестного исполнения обязательств поставщиками «облачных» услуг

внешний нарушитель с низким потенциалом

информационная система;

сервер;

носитель информации;

метаданные;

объекты файловой системы

187.

Угроза незащищенного администрирования «облачных» услуг

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

«облачная» система;

рабочая станция;

сетевое программное обеспечение

188.

Угроза некачественного переноса инфраструктуры в «облако»

внешний нарушитель с низким потенциалом

информационная система, иммигрированная в «облако»; «облачная» система

189.

Угроза неконтролируемого роста числа виртуальных машин

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

«облачная» система;

консоль управления «облачной» инфраструктурой;

«облачная» инфраструктура

190.

Угроза некорректной реализации политики лицензирования в «облаке»

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

191.

Угроза неопределенности в распределении ответственности между ролями в «облаке»

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение

192.

Угроза неопределенности ответственности за обеспечение безопасности «облака»

внешний нарушитель с низким потенциалом

«облачная» система

193.

Угроза непрерывной модернизации «облачной» инфраструктуры

внутренний нарушитель со средним потенциалом

«облачная» инфраструктура

194.

Угроза несогласованности политик безопасности элементов «облачной» инфраструктуры

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

системное программное обеспечение;

«облачная» система

195.

Угроза общедоступности «облачной» инфраструктуры

внешний нарушитель со средним потенциалом

объекты файловой системы; аппаратное обеспечение;

«облачный» сервер

196.

Угроза потери доверия к поставщику «облачных» услуг

внутренний нарушитель со средним потенциалом

объекты файловой системы; информационная система, иммигрированная в «облако»

197.

Угроза потери и утечки данных, обрабатываемых в «облаке»

внутренний нарушитель с низким потенциалом

системное программное обеспечение;

метаданные;

объекты файловой системы

198.

Угроза потери управления «облачными» ресурсами

внешний нарушитель с высоким потенциалом

сетевой трафик;

объекты файловой системы

199.

Угроза потери управления собственной инфраструктурой при переносе ее в «облако»

внутренний нарушитель со средним потенциалом

информационная система, иммигрированная в «облако»; системное программное обеспечение;

прикладное программное обеспечение;

сетевое программное обеспечение

200.

Угроза привязки к поставщику «облачных» услуг

внутренний нарушитель с низким потенциалом

информационная система, иммигрированная в облако;

системное программное обеспечение;

сетевое программное обеспечение;

сетевой трафик;

объекты файловой системы

201.

Угроза приостановки оказания «облачных» услуг вследствие технических сбоев

-¹⁾

системное программное обеспечение;

аппаратное обеспечение;

канал связи

202.

Угроза распространения состояния «отказ в обслуживании» в «облачной» инфраструктуре

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

«облачная» инфраструктура, созданная с использованием технологий виртуализации

XIII. Угрозы, связанные с использованием технологий виртуализации

203.

Угроза выхода процесса за пределы виртуальной машины

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

информационная система;

сетевой узел;

носитель информации;

объекты файловой системы;

учетные данные пользователя;

образ виртуальной машины

204.

Угроза нарушения изоляции пользовательских данных внутри виртуальной машины

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

виртуальная машина;

гипервизор

205.

Угроза нарушения технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

образ виртуальной машины;

сетевой узел;

сетевое программное обеспечение;

виртуальная машина

206.

Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

информационная система;

сервер

207.

Угроза несанкционированного доступа к виртуальным каналам передачи

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

сетевое программное обеспечение;

сетевой трафик;

виртуальные устройства

208.

Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

сервер;

рабочая станция;

виртуальная машина;

гипервизор;

машинный носитель информации; метаданные

209.

Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

виртуальная машина

210.

Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

виртуальная машина

211.

Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

виртуальные устройства хранения данных;

виртуальные диски

212.

Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

носитель информации;

объекты файловой системы

213.

Угроза ошибки обновления гипервизора

внутренний нарушитель с низким потенциалом

системное программное обеспечение;

гипервизор

214.

Угроза перехвата управления гипервизором

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

системное программное обеспечение;

гипервизор;

консоль управления гипервизором

215.

Угроза перехвата управления средой виртуализации

внешний нарушитель со средним потенциалом; внутренний нарушитель со средним потенциалом

информационная система;

системное программное обеспечение

216.

Нарушение доверенной загрузки виртуальных серверов информационных систем, перехват загрузки²⁾

-¹⁾

217.

Нарушение целостности конфигурации виртуальных серверов-подмена (искажение) образов (данных и оперативной памяти)²⁾

-¹⁾

218.

Угроза несанкционированного доступа к консоли управления виртуальной инфраструктурой²⁾

-¹⁾

219.

Угроза несанкционированного доступа к виртуальному серверу информационной системы, в том числе несанкционированного сетевого подключения и проведения сетевых атак на виртуальный сервер информационной системы²⁾

-¹⁾

220.

Угроза несанкционированного доступа к ресурсам гипервизора вследствие сетевых атак типа «переполнение буфера»²⁾

-¹⁾

221.

Угроза несанкционированного доступа к объектам виртуальной инфраструктуры без прохождения процедуры идентификации и аутентификации²⁾

-¹⁾

222.

Угроза несанкционированного доступа к виртуальной инфраструктуре (компонентам виртуальной инфраструктуры или виртуальным машинам или объектам внутри виртуальных машин)²⁾

-¹⁾

223.

Угроза отсутствия средств регистрации событий в виртуальной инфраструктуре²⁾

-¹⁾

XIV. Угрозы, связанные с нарушением правил эксплуатации машинных носителей

224.

Угроза несанкционированного восстановления удаленной защищаемой информации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

машинный носитель информации

225.

Угроза несанкционированного удаления защищаемой информации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

метаданные;

объекты файловой системы;

реестр операционной системы

226.

Угроза утраты носителей информации

внутренний нарушитель с низким потенциалом

носитель информации

227.

Угроза форматирования носителей информации

внешний нарушитель с низким потенциалом; внутренний нарушитель с низким потенциалом

носитель информации

228.

Повреждение носителя информации

-¹⁾

229.

Доступ к снятым с эксплуатации носителям информации (содержащим остаточные данные)

-¹⁾

230.

Угроза подключения к информационной системе неучтенных машинных носителей²⁾

-¹⁾

231.

Угроза подключения к информационной системе не персонифицированных машинных носителей

-¹⁾

232.

Угроза несанкционированного копирования информации на машинные носители²⁾

-¹⁾

233.

Угроза несанкционированной модификации (удаления) информации на машинных носителях²⁾

-¹⁾

234.

Угроза хищения машинных носителей²⁾

-¹⁾

235.

Угроза подмены машинных носителей²⁾

-¹⁾

236.

Угроза встраивания программно-аппаратных закладок в машинные носители²⁾

-¹⁾

237.

Угроза несанкционированного доступа к информации, хранящейся на машинном носителе²⁾

-¹⁾

238.

Угроза использования машинных носителей для хранения информации разных уровней конфиденциальности и целей обработки

-¹⁾

239.

Угроза использования неконтролируемых портом средства вычислительной техники для вывода информации на сторонние машинные носители²⁾

-¹⁾

240.

Угроза передачи информации (фрагментов информации) между пользователями, сторонними организациями при неполном уничтожении (стирании) информации с машинных носителей²⁾

-¹⁾

241.

Угроза несанкционированного использования машинных носителей

-¹⁾

242.

Угроза несанкционированного выноса машинных носителей за пределы контролируемой зоны

-¹⁾

XV. Угрозы, связанные с нарушением процедур установки (обновления) программного обеспечения и оборудования

243.

Угроза запуска (установки) вредоносного (шпионского или неразрешенного) программного обеспечения и (или) обновлений программного обеспечения²⁾

-¹⁾

244.

Установка программного обеспечения, содержащего известные уязвимости²⁾

-¹⁾