![Ставка на Право [55]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyr_qEvEuqnqkhsqRN7Aj8ps27QUPFUUwzJ_5xxu4IiuDaLUe09fUMYSSQg8Q6SSsUdWk3D3TJ8ILJGF-dwjEM4Q7jGY-P7nKZLZ-5LNDGTgbaywX-HXkqb76lpaeU4XHrG79hw0bG08s/s498/55lwt0000_logo02.png){kind=logo}
В соответствии с частью 5 статьи 19 Федерального
закона от 27.06.2006 года № 152-ФЗ «О персональных данных» Приказом Минспорта
РФ от 13.03.2019 года № 197 Определены угрозы безопасности персональных
данных, актуальных при обработке персональных данных в информационных системах
персональных данных в сфере физической культуры и спорта к которым относятся:
- угрозы безопасности персональных данных, защищаемых без использования средств криптографической защиты информации (СКЗИ);
- угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого.
Безопасность персональных данных в спорте
Угрозы безопасности персональных данных, защищаемых
без использования СКЗИ, включают:
- угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в информационных системах, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационных систем;
- угрозы воздействия вредоносного кода, вредоносной программы, внешних по отношению к информационным системам;
- угрозы использования методов воздействия на лиц, обладающих полномочиями в информационных системах;
- угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в системном и прикладном программном обеспечении информационных систем;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, в том числе с использованием протоколов межсетевого взаимодействия;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;
- угрозы, связанные с возможностью использования новых информационных технологий.
Угрозы целенаправленных действий с использованием
аппаратных и (или) программных средств с целью нарушения безопасности
защищаемых с использованием СКЗИ персональных данных или создания условий для
этого включают:
1) создание способов, подготовка и проведение атак без
привлечения специалистов в области разработки и анализа СКЗИ;
2) создание способов, подготовка и проведение атак на
различных этапах жизненного цикла СКЗИ;
3) проведение атаки нарушителем, находясь вне
пространства, в котором исключено неконтролируемое пребывание сотрудников и
посетителей оператора и посторонних транспортных, технических и иных
материальных средств;
4) проведение на этапах разработки (модернизации),
производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ
(пусконаладочные работы) следующих атак:
а) внесение несанкционированных изменений в СКЗИ и
(или) в компоненты аппаратных и программных средств, совместно с которыми
штатно функционируют СКЗИ и в совокупности представляющие среду
функционирования СКЗИ (далее -СФ), которые способны повлиять на выполнение предъявляемых
к СКЗИ требований, в том числе с использованием вредоносных программ;
б) внесение несанкционированных изменений в технические и организационно-распорядительные
документы на СКЗИ и компоненты СФ;
5) проведение атак на этапе эксплуатации СКЗИ на:
а) персональные данные;
6) ключевую, аутентифицирующую и парольную информацию
СКЗИ;
в) программные компоненты СКЗИ;
г) аппаратные компоненты СКЗИ;
д) программные компоненты СФ, включая программное
обеспечение базовых систем ввода (вывода);
е) аппаратные компоненты СФ;
ж) данные, передаваемые по каналам связи;
з) иные объекты, которые установлены при формировании
совокупности предположений о возможностях, которые могут использоваться при
создании способов, подготовке и проведении атак с учетом применяемых в
информационной системе информационных технологий, аппаратных средств (далее -
АС) и программного обеспечения (далее - ПО);
6) получение из находящихся в свободном доступе
источников (включая информационно-телекоммуникационные сети, доступ к которым
не ограничен определенным кругом лиц, в том числе
информационно-телекоммуникационную сеть «Интернет») следующей информации об
информационной системе, в которой используется СКЗИ:
а) общие сведения об информационной системе, в которой
используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены
ресурсы информационной системы);
б) сведения об информационных технологиях, базах
данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за
исключением сведений, содержащихся только в конструкторской
документации на информационные технологии, базы данных, АС, ПО, используемые в
информационной системе совместно с СКЗИ;
в) содержание конструкторской документации на СКЗИ;
г) содержание находящейся в свободном доступе
документации на аппаратные и программные компоненты СКЗИ и СФ;
д) общие сведения о защищаемой информации,
используемой в процессе эксплуатации СКЗИ;
е) сведения о каналах связи, по которым передаются
защищаемые СКЗИ персональные данные (далее - канал связи);
ж) данные, передаваемые в открытом виде по каналам
связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;
з) сведения о нарушениях правил эксплуатации СКЗИ и СФ
в каналах связи, не защищенных от несанкционированного доступа к информации
организационными и техническими мерами,;
и) сведения о неисправностях и сбоях аппаратных
компонентов СКЗИ и СФ, проявляющихся в каналах связи, не защищенных от
несанкционированного доступа к информации организационными и техническими мерами;
к) сведения, получаемые в результате анализа сигналов
от аппаратных компонентов СКЗИ и СФ;
7) применение:
а) находящихся в свободном доступе или используемых за
пределами контролируемой зоны АС и ПО, включая аппаратные и программные
компоненты СКЗИ и СФ;
б) специально разработанных АС и ПО;
8) использование на этапе эксплуатации в качестве
среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий,
осуществляемых при подготовке и (или) проведении атаки:
а) каналов связи, не защищенных от
несанкционированного доступа к информации организационными и техническими
мерами;
б) каналов распространения сигналов, сопровождающих
функционирование СКЗИ и СФ;
9) проведение на этапе эксплуатации атаки из
информационно-телекоммуникационных сетей, доступ к которым не ограничен
определенным кругом лиц, если информационные системы, в которых используются
СКЗИ, имеют выход в эти сети;
10) использование на этапе эксплуатации находящихся за
пределами контролируемой зоны АС и ПО из состава средств информационной
системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства);
11) проведение атаки при нахождении в пределах
контролируемой зоны;
12) на этапе эксплуатации СКЗИ возможное уничтожение и
несанкционированный доступ к:
а) документации на СКЗИ и компоненты СФ;
б) помещениям, в которых находится совокупность
программных и технических элементов систем обработки данных, способных
функционировать самостоятельно или в составе других систем (далее - СВТ), на
которых реализованы СКЗИ и СФ;
13) получение в рамках предоставленных полномочий, а
также в результате наблюдений следующей информации:
а) сведений о физических мерах защиты объектов, в
которых размещены ресурсы информационной системы;
б) сведений о мерах по обеспечению контролируемой зоны
объектов, в которых размещены ресурсы информационной системы;
в) сведений о мерах по разграничению доступа в
помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;
14) использование штатных средств, ограниченное мерами,
реализованными в информационной системе, в которой используется СКЗИ, и
направленными на предотвращение и пресечение несанкционированных действий;
15) физический доступ к СВТ, на которых реализованы
СКЗИ и СФ;
16) наличие у нарушителя аппаратных компонентов СКЗИ и
СФ, реализованных в информационной системе, в которой используется СКЗИ.
Комментариев нет:
Отправить комментарий