Минцифры РФ представило перечень угроз для персональных данных в информационных системах

Дата: 03.06.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Минцифры РФ представило перечень угроз для персональных данных в информационных системах

Федеральная служба охраны РФ на своем официальном сайте опубликовала приказ Министерства цифрового развития, связи и массовых коммуникаций, с помощью которого устанавливается общий подход к определению угроз безопасности персональных данных при процессах их обработки.

С 01.06.2021 года операторы информационных систем, которые контролируются Минцифры РФ, при формировании моделей угроз для персональных данных обязаны принимать во внимание перечень, который указан в представленном приказе.

Операторам информационных систем также предоставляется возможность сокращения этого перечня угроз для персональных данных, учитывая специфику структурных, функциональных характеристик определенной информационной системы, применяемых технологий.

В соответствии с приложением к приказу Министерства цифрового развития, связи и массовых коммуникаций 21.12.2020 №734, предлагается отечественная классификация угроз безопасности персональных данных при процедурах их обработки в информационных системах. В этот перечень входят следующие разновидности угроз:

  • угрозы, связанные со спецификой работы технических, программно-технических, технических средств, с помощью которых обеспечивается хранение, обработка, передача данных;
  • угрозы неправомерного доступа к отчуждаемым носителям ПДн (в т. ч. переносные ПК пользователей ИС);
  • угрозы воздействия вредоносного ПО или кода, внешних по отношению к ИС;
  • угрозы несанкционированного доступа к ПДн лицам, которые обладают полномочиями в ИС, в т. ч. при формировании, развитии, вводе и выводе из эксплуатации ИС, последующего хранения содержащихся в их БД сведений;
  • угрозы эксплуатации методик воздействия на лиц, имеющих полномочия в ИС;
  • угрозы несанкционированного доступа к ПДн лицами, которые не обладают полномочиями в ИС, с применением уязвимостей в организации защиты ПДн, уязвимостей в программном обеспечении ИС, уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи информации, уязвимостей в обеспечении защиты вычислительных сетей ИС, уязвимостей, которые вызваны несоблюдением регламентных требований эксплуатации средств защиты данных;
  • угрозы целенаправленных действий с применением программных или аппаратных средств для нарушения безопасности защищаемых с применением средств криптографии ПДн или формирования условий для этих действий.

Приказ, выпущенный Минцифры РФ, должны соблюдать операторы ЕПГУ, ЕСИА, сайта российского правительства, автоматизированных систем «Выборы», «Управление», а также ряда иных федеральных информационных систем, в том числе ведомства Россвязь, Роскомнадзор, Роспечать.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *