понедельник, 9 мая 2016 г.

Определены угрозы безопасности персональных данных, актуальных при их обработке в информационных системах


Указанием Банка России от 10 декабря 2015 года № 3889-У определены угрозы безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных (ИС ПДн). Документ согласован с Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю и вступил в силу 15 апреля 2016 года.

Под актуальными угрозами безопасности понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать их уничтожение, изменение, блокирование, копирование, предоставление, распространение, а также иные неправомерные действия (п.2).

Актуальными при обработке ПДн в информационных системах, являются следующие угрозы (п.4):
  • Несанкционированного доступа к ПДн лицами, обладающими полномочиями в ИС, в том числе в ходе ее создания, эксплуатации, технического обслуживания и/или ремонта, модернизации, снятия с эксплуатации;

  • Воздействия вредоносного кода, внешнего по отношению к ИС;

  • Использования методов социального инжиниринга к лицам, обладающим полномочиями в ИС;

  • Несанкционированного доступа к отчуждаемым носителям персональных данных;

  • Утраты носителей ПДн, включая переносные персональные компьютеры пользователей ИС;

  • Несанкционированного доступа к ПДн лицами, не обладающими полномочиями в ИС, с использованием уязвимостей:

    • в организации защиты ПДн;

    • в программном обеспечении ИС;

    • в обеспечении защиты сетевого взаимодействия и каналов передачи данных;

    • в обеспечении защиты вычислительных сетей ИС;

    • вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором ИС в соответствии с пунктом 7 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (с учетом оценки возможного вреда Н.Х.) (п.5).

Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=195662

Комментариев нет:

Отправить комментарий