Федеральная таможенная служба разместила проект приказа об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных ФТС России.
Угрозами безопасности ПД, согласно проекту приказа, являются угрозы, являющиеся атакой на информационные системы; угрозы, не являющиеся атакой на информационные системы.
Угрозы, являющиеся атакой на информационные системы включают: угрозы персональных данных, угрозы, связанные с распространением программных вирусов или вредоносных программ, распространяющихся по сети в АС, угрозы, связанные с использованием технологий виртуализации, угрозы, реализуемые с использованием протоколов межсетевого взаимодействия (угроза анализа сетевого трафика; угроза сканирования сети; угроза выявления пароля; угроза подмены доверенного объекта сети и пр., угроза перехвата акустической (речевой) информации и др.
Угрозы, не являющиеся атакой на информационные системы, включают:
Угроза уничтожения АС или элементов АС в результате забастовки или саботажа.
Угроза непредумышленного искажения или удаления информации пользователями АС (электронных документов, баз данных).
Угроза внедрения и использования неучтенных программ в технологии обработки информации в автоматизированной системе.
Угроза нарушения правил хранения персональной, ключевой, аутентифицирующей информации, вследствие не осведомленности пользователей по вопросам обеспечения безопасности информации или халатности.
Угроза предоставления посторонним лицам возможности доступа к средствам защиты информации, а также к техническим и программным средствам, способным повлиять на выполнение предъявляемых к средствам защиты информации требований.
Угроза внесения уязвимостей в подсистему информационной безопасности АС вследствие ошибок администратора безопасности: неправильной настройки средств защиты информации, неправильного назначения прав доступа и др.
Согласно закону о персональных данных, федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности ПД, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания ПД, характера и способов их обработки.
Под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
