Администрация

муниципального образования

Свирицкое сельское поселение

Волховского муниципального района

Ленинградской области

ПОСТАНОВЛЕНИЕ

от «26» октября 2023 года № 108

Об утверждении Перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных администрации Свирицкого сельского поселения Волховского муниципального района Ленинградской области

В соответствие с требованиями Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Уставом Свирицкого сельского поселения Волховского муниципального района Ленинградской области, администрация постановляет:

1. Утвердить Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных администрации Свирицкого сельского поселения Волховского муниципального района Ленинградской области согласно приложению к настоящему постановлению.

2. Специалистам администрации Свирицкого сельское поселение ознакомиться с настоящим постановлением под роспись.

3. Настоящее постановление подлежит официальному опубликованию в газете «Волховские огни» и размещению на официальном сайте администрации Свирицкого сельского поселения //www.svirica—adm.ru/.

4. Контроль за исполнением постановления оставляю за собой.

Глава администрации В.А. Атаманова

С постановлением ознакомлены:

«___» __________2023 г. /____________________/

«___» __________2023 г. /____________________/

«___» __________2023 г. /____________________/

«___» __________2023 г. /____________________/

Утвержден

Постановлением администрации Свирицкого сельского поселения

Волховского муниципального района

Ленинградской области

от 26.10.2023г. №108

(Приложение 1)

Перечень

угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных администрации Свирицкого сельского поселения Волховского муниципального района Ленинградской области

1. Угрозы утечки информации по техническим каналам:

1) угрозы утечки акустической (речевой) информации:

угрозы внедрения специальных звукозаписывающих электронных устройств в помещения;

2) угрозы утечки видовой информации:

угрозы утечки видовой информации с экрана дисплеев;

угрозы утечки видовой информации с технических средств;

угрозы обработки графической, видео — и буквенно-цифровой информации;

угрозы внедрения специальных видеозаписывающих электронных устройств в помещения;

3) угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (далее — ПЭМИН):

угрозы утечки по каналам ПЭМИН информативных сигналов от технических средств и линий передачи информации;

угрозы наводок информативного сигнала на цепи электропитания и линии связи;

угрозы утечки радиоизлучения.

2. Угрозы несанкционированного доступа к информационным системам персональных данных, включающие в себя:

1) угрозы, реализуемые в ходе загрузки операционной системы:

угрозы выявления паролей или идентификатора;

угрозы модификации программного обеспечения базовой системы ввода — вывода (BIOS);

угрозы перехвата управления загрузкой с изменением необходимой технологической информации;

2) угрозы, реализуемые после загрузки операционной системы:

угрозы несанкционированного копирования защищаемой информации, обрабатываемой в информационных системах персональных данных (далее — ИСПДн);

угрозы разглашения (публикации) защищаемой информации, обрабатываемой в ИСПДн;

угрозы разглашения (публикации) состава программно-аппаратных средств ИСПДн;

угрозы разглашения (публикации) состава средств защиты персональных данных (далее — ПДн);

угрозы хищения аппаратных средств и носителей информации;

угрозы несанкционированного отключения средств защиты;

угрозы несанкционированной модификации защищаемой информации, обрабатываемой в ИСПДн;

угрозы несанкционированного уничтожения защищаемой информации, обрабатываемой в ИСПДн;

угрозы несанкционированной модификации конфигурации прикладного и специального программного обеспечения ИСПДн;

угрозы несанкционированного уничтожения прикладного и специального программного обеспечения ИСПДн;

3) угрозы отказа в обслуживании:

угрозы нарушения функционирования и отказ средств обработки ИСПДн;

угрозы нарушения функционирования и отказ средств хранения информации;

угрозы нарушения функционирования и отказ средств защиты информации;

4) угрозы внедрения вредоносных программ:

угрозы внедрения программной закладки;

угрозы внедрения (классического) программного вируса;

угрозы внедрения программной закладки по сети;

угрозы внедрения (классического) программного вируса по сети;

5) угрозы сетевой безопасности:

угрозы выявления паролей;

угрозы анализа сетевого трафика, передаваемого во внешнюю сеть и принимаемого из внешней сети;

угрозы сканирования сети, направленные на определение топологии сети, выявление типа операционной системы, сетевых адресов, открытых портов и запущенных служб;

угрозы модификации конфигурации сети;

угрозы модификации сетевых адресов;

угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных;

угрозы внедрения ложного объекта сети;

угрозы подмены доверенного объекта в сети;

угрозы скрытого отказа в обслуживании, вызванного привлечением части ресурсов ИСПДн;

угрозы отказа в обслуживании, вызванного передачей злоумышленником пакетов с нетрадиционными атрибутами;

угрозы явного отказа в обслуживании, вызванного исчерпанием ресурсов ИСПДн;

угрозы явного отказа в обслуживании, вызванного нарушением логической связанности между техническими средствами ИСПДн;

угрозы удаленного запуска приложений путем распространения файлов, содержащих несанкционированный исполняемый код;

угрозы удаленного запуска приложений путем использования возможностей удаленного управления системой;

6) угрозы безопасности среды виртуализации:

угрозы перехвата управления средой виртуализации;

угрозы нарушения изоляции пользовательских данных внутри виртуальной машины;

угрозы нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия;

угрозы нарушения технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин;

угрозы несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети;

угрозы несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети;

угрозы несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации;

угрозы выхода процесса за пределы виртуальной машины;

7) угрозы безопасности использования в информационной системе технологий беспроводного доступа:

угрозы несанкционированного доступа к ИСПДн по беспроводным каналам;

угрозы подключения к беспроводной сети в обход процедуры аутентификации;

угрозы подмены беспроводного клиента или точки доступа.

3. Угрозы недекларированных возможностей программного обеспечения, включающие в себя:

1) угрозы нарушения целостности, конфиденциальности, доступности обрабатываемых персональных данных в ИСПДн с использованием недекларированных возможностей в операционной системе;

2) угрозы нарушения целостности, конфиденциальности, доступности обрабатываемых персональных данных в ИСПДн с использованием недекларированных возможностей в прикладном программном обеспечении.

4. Угрозы нарушителей и направление возможных атак при использовании средств криптографической защиты (далее — СКЗИ):

1) проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ и компоненты среды функционирования СКЗИ;

помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ;

2) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники (далее — СВТ), на которых реализованы СКЗИ;

3) использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

4) физический доступ к СВТ, на которых реализованы СКЗИ;

5) возможность воздействовать на аппаратные компоненты СКЗИ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

6) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения;

7) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

8) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ;

9) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения;

10) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СКЗИ;

11) возможность воздействовать на любые компоненты СКЗИ.