Приказ Минцифры России от 21.12.2020 № 734 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации» зарегистрирован Минюстом и опубликован на официальном портале правовой информации во вторник.
Согласно документу, такими угрозами являются:
- угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
- угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем;
- угрозы воздействия вредоносного кода и (или) вредоносной программы, внешних по отношению к информационным системам;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в информационных системах, в том числе в ходе создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации информационных систем, и дальнейшего хранения содержащейся в их базах данных информации;
- угрозы использования методов воздействия на лиц, обладающих полномочиями в информационных системах;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в программном обеспечении информационных систем;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;
- угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;
- угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием средств криптографической защиты информации персональных данных или создания условий для этого.
Как поясняли в Минцифры в процессе разработки приказа, определение актуальных угроз безопасности ПД устанавливает единый подход к определению этих угроз и разработке на их основе частных моделей угроз безопасности персональных данных для этих ИС.
Описанные актуальные угрозы подлежат адаптации операторами в ходе определения угроз безопасности ПД, актуальных при обработке персональных данных в конкретной информационной системе.
Адаптация актуальных угроз направлена на уточнение (уменьшение) перечня угроз безопасности ПД «и осуществляется с учётом их структурно-функциональных характеристик, применяемых информационных технологий и особенностей функционирования (в том числе исключение угроз, которые непосредственно связаны с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе)».
В ведении Минцифры находятся такие информационные системы, как Единая система идентификации и аутентификации (ЕСИА), Единый портал государственных и муниципальных услуг (функций) (ЕПГУ), Единая система межведомственного электронного взаимодействия (СМЭВ), Государственная автоматизированная система Российской Федерации «Выборы» (ГАС «Выборы»), Государственная автоматизированная информационная система «Управление» (ГАС «Управление»), Федеральная государственная информационная система досудебного обжалования, официальный сайт правительства РФ и председателя правительства РФ и пр.