Законодательство РФ
 |  Приказ Минюста России от 09.08.2017 N 142 "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, являющихся подсистемами федеральной государственной информационной системы "Автоматизированная информационная система Федеральной службы судебных приставов", и информационных системах персональных данных, не являющихся подсистемами федеральной государственной информационной системы "Автоматизированная информационная система Федеральной службы судебных приставов", эксплуатируемых при осуществлении Федеральной службой судебных приставов функций по обеспечению установленного порядка деятельности судов, исполнению судебных актов, актов других органов и должностных лиц" (Зарегистрировано в Минюсте России 15.08.2017 N 47782)

Приказ Минюста России от 09.08.2017 N 142 Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, являющихся подсистемами федеральной государственной информационной системы "Автоматизированная информационная система Федеральной службы судебных приставов", и информационных системах персональных данных, не являющихся подсистемами федеральной государственной информационной системы "Автоматизированная информационная система Федеральной службы судебных приставов", эксплуатируемых при осуществлении Федеральной службой судебных приставов функций по обеспечению установленного порядка деятельности судов, исполнению судебных актов, актов других органов и должностных лиц

МИНИСТЕРСТВО ЮСТИЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

от 9 августа 2017 г. N 142

ОБ ОПРЕДЕЛЕНИИ

УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ

ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

ПЕРСОНАЛЬНЫХ ДАННЫХ, ЯВЛЯЮЩИХСЯ ПОДСИСТЕМАМИ ФЕДЕРАЛЬНОЙ

ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ "АВТОМАТИЗИРОВАННАЯ

ИНФОРМАЦИОННАЯ СИСТЕМА ФЕДЕРАЛЬНОЙ СЛУЖБЫ СУДЕБНЫХ

ПРИСТАВОВ", И ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ,

НЕ ЯВЛЯЮЩИХСЯ ПОДСИСТЕМАМИ ФЕДЕРАЛЬНОЙ ГОСУДАРСТВЕННОЙ

ИНФОРМАЦИОННОЙ СИСТЕМЫ "АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ

СИСТЕМА ФЕДЕРАЛЬНОЙ СЛУЖБЫ СУДЕБНЫХ ПРИСТАВОВ",

ЭКСПЛУАТИРУЕМЫХ ПРИ ОСУЩЕСТВЛЕНИИ ФЕДЕРАЛЬНОЙ СЛУЖБОЙ

СУДЕБНЫХ ПРИСТАВОВ ФУНКЦИЙ ПО ОБЕСПЕЧЕНИЮ УСТАНОВЛЕННОГО

ПОРЯДКА ДЕЯТЕЛЬНОСТИ СУДОВ, ИСПОЛНЕНИЮ СУДЕБНЫХ АКТОВ,

АКТОВ ДРУГИХ ОРГАНОВ И ДОЛЖНОСТНЫХ ЛИЦ

В соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. 1), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. 1), ст. 6439; 2010, N 27, ст. 3407, N 31, ст. 4173, ст. 4196, N 49, ст. 6409, N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263, N 31, ст. 4701; 2013, N 14, ст. 1651, N 30 (ч. 1), ст. 4038, N 51, ст. 6683; 2014, N 23, ст. 2927, N 30 (ч. 1), ст. 4217, ст. 4243; 2016, N 27 (ч. 1), ст. 4164; 2017, N 9, ст. 1276), а также в соответствии с Указом Президента Российской Федерации от 13.10.2004 N 1313 "Вопросы Министерства юстиции Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N 42, ст. 4108; 2005, N 44, ст. 4535, N 52 (ч. 3), ст. 5690; 2006, N 12, ст. 1284, N 19, ст. 2070, N 23, ст. 2452, N 38, ст. 3975, N 39, ст. 4039; 2007, N 13, ст. 1530, N 20, ст. 2390; 2008, N 10 (ч. 2), ст. 909, N 29 (ч. 1), ст. 3473, N 43, ст. 4921; 2010, N 4, ст. 368, N 19, ст. 2300; 2011, N 21, ст. 2927, ст. 2930, N 29, ст. 4420; 2012, N 8, ст. 990, N 18, ст. 2166, N 22, ст. 2759, N 38, ст. 5070, N 47, ст. 6459, N 53 (ч. 2), ст. 7866; 2013, N 26, ст. 3314, N 49 (ч. 7), ст. 6396, N 52 (ч. 2), ст. 7137; 2014, N 26 (ч. 2), ст. 3515, N 50, ст. 7054; 2015, N 14, ст. 2108, N 19, ст. 2806, N 37, ст. 5130; 2016, N 1 (ч. 2), ст. 207, ст. 211, N 19, ст. 2672, N 51, ст. 7357; 2017, N 16, ст. 2397, N 17, ст. 2549) приказываю:

1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, являющихся подсистемами федеральной государственной информационной системы "Автоматизированная информационная система Федеральной службы судебных приставов", и информационных системах персональных данных, не являющихся подсистемами федеральной государственной информационной системы "Автоматизированная информационная система Федеральной службы судебных приставов", эксплуатируемых при осуществлении Федеральной службой судебных приставов функций по обеспечению установленного порядка деятельности судов, исполнению судебных актов, актов других органов и должностных лиц (далее - Угрозы, информационные системы соответственно), согласно приложению.

2. Федеральной службе судебных приставов (Д.В. Аристов) при определении угроз безопасности персональных данных при их обработке в информационных системах исходить из Угроз с учетом структурно-функциональных характеристик информационных систем.

3. Контроль за исполнением настоящего приказа возложить на заместителя Министра А.Д. Алханова.

Министр

А.В.КОНОВАЛОВ




Приложение

к приказу Министерства юстиции

Российской Федерации

от 09.08.2017 N 142

УГРОЗЫ

БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫЕ ПРИ ОБРАБОТКЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ

ДАННЫХ, ЯВЛЯЮЩИХСЯ ПОДСИСТЕМАМИ ФЕДЕРАЛЬНОЙ ГОСУДАРСТВЕННОЙ

ИНФОРМАЦИОННОЙ СИСТЕМЫ "АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ

СИСТЕМА ФЕДЕРАЛЬНОЙ СЛУЖБЫ СУДЕБНЫХ ПРИСТАВОВ",

И ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ,

НЕ ЯВЛЯЮЩИХСЯ ПОДСИСТЕМАМИ ФЕДЕРАЛЬНОЙ ГОСУДАРСТВЕННОЙ

ИНФОРМАЦИОННОЙ СИСТЕМЫ "АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ

СИСТЕМА ФЕДЕРАЛЬНОЙ СЛУЖБЫ СУДЕБНЫХ ПРИСТАВОВ",

ЭКСПЛУАТИРУЕМЫХ ПРИ ОСУЩЕСТВЛЕНИИ ФЕДЕРАЛЬНОЙ СЛУЖБОЙ

СУДЕБНЫХ ПРИСТАВОВ ФУНКЦИЙ ПО ОБЕСПЕЧЕНИЮ УСТАНОВЛЕННОГО

ПОРЯДКА ДЕЯТЕЛЬНОСТИ СУДОВ, ИСПОЛНЕНИЮ СУДЕБНЫХ АКТОВ,

АКТОВ ДРУГИХ ОРГАНОВ И ДОЛЖНОСТНЫХ ЛИЦ

1. Угрозами безопасности персональных данных, актуальными при обработке персональных данных в информационных системах персональных данных, являющихся подсистемами федеральной государственной информационной системы "Автоматизированная информационная система Федеральной службы судебных приставов", и информационных системах персональных данных, не являющихся подсистемами федеральной государственной информационной системы "Автоматизированная информационная система Федеральной службы судебных приставов", эксплуатируемых при осуществлении Федеральной службой судебных приставов функций по обеспечению установленного порядка деятельности судов, исполнению судебных актов, актов других органов и должностных лиц (далее - информационные системы), являются:

угрозы безопасности персональных данных, защищаемых без использования средств криптографической защиты информации (далее - СКЗИ);

угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого <1>.

--------------------------------

<1> Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ России от 10.07.2014 N 378 (зарегистрирован Минюстом России 18.08.2014, регистрационный N 33620).

2. Угрозы безопасности персональных данных, защищаемых без использования СКЗИ, включают:

1) угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;

2) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в информационных системах, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационных систем;

3) угрозы воздействия вредоносного кода, вредоносной программы, внешних по отношению к информационным системам;

4) угрозы использования методов социального инжиниринга к лицам, обладающим полномочиями в информационных системах;

5) угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем;

6) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;

7) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в системном и прикладном программном обеспечении информационных систем;

8) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, в том числе с использованием протоколов межсетевого взаимодействия;

9) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;

10) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;

11) угрозы, связанные с возможностью использования новых информационных технологий (технологии виртуализации, беспроводные технологии, облачные технологии, технологии удаленного доступа и иные новые технологии).

3. Угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого включают:

1) угрозы проведения атаки при нахождении вне контролируемой зоны;

2) угрозы проведения на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) атаки путем внесения несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;

3) угрозы проведения атак на этапе эксплуатации СКЗИ на:

а) ключевую, аутентифицирующую и парольную информацию СКЗИ;

б) программные компоненты СКЗИ;

в) аппаратные компоненты СКЗИ;

г) программные компоненты СФ, включая базовую систему ввода (вывода) (BIOS);

д) аппаратные компоненты СФ;

е) данные, передаваемые по каналам связи;

4) угрозы получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационных системах, в которых используются СКЗИ:

а) общих сведений об информационных системах, в которых используются СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационных систем);

б) сведений об информационных технологиях, базах данных, аппаратных средствах (далее - АС), программном обеспечении (далее - ПО), используемых в информационных системах совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационных системах совместно с СКЗИ;

в) содержания находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;

г) общих сведений о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

д) сведений о каналах связи, по которым передаются защищаемые СКЗИ персональные данные;

е) сведений, получаемых в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;

5) угрозы применения специально разработанных АС и ПО;

6) угрозы использования на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;

7) угрозы проведения атаки при нахождении в пределах контролируемой зоны;

8) угрозы проведения атак на этапе эксплуатации СКЗИ на объекты:

а) документацию на СКЗИ и компоненты СФ;

б) помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и СФ;

9) угрозы получения в рамках предоставленных полномочий, а также в результате наблюдений:

а) сведений о физических мерах защиты объектов, в которых размещены ресурсы информационных систем;

б) сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационных систем;

в) сведений о мерах по разграничению доступа в помещения, в которых находятся средства вычислительной техники, на которых реализованы СКЗИ и СФ;

10) угрозы физического доступа к средствам вычислительной техники, на которых реализованы СКЗИ.



Популярные статьи и материалы
N 400-ФЗ от 28.12.2013

ФЗ о страховых пенсиях

N 69-ФЗ от 21.12.1994

ФЗ о пожарной безопасности

N 40-ФЗ от 25.04.2002

ФЗ об ОСАГО

N 273-ФЗ от 29.12.2012

ФЗ об образовании

N 79-ФЗ от 27.07.2004

ФЗ о государственной гражданской службе

N 275-ФЗ от 29.12.2012

ФЗ о государственном оборонном заказе

N2300-1 от 07.02.1992 ЗППП

О защите прав потребителей

N 273-ФЗ от 25.12.2008

ФЗ о противодействии коррупции

N 38-ФЗ от 13.03.2006

ФЗ о рекламе

N 7-ФЗ от 10.01.2002

ФЗ об охране окружающей среды

N 3-ФЗ от 07.02.2011

ФЗ о полиции

N 402-ФЗ от 06.12.2011

ФЗ о бухгалтерском учете

N 135-ФЗ от 26.07.2006

ФЗ о защите конкуренции

N 99-ФЗ от 04.05.2011

ФЗ о лицензировании отдельных видов деятельности

N 223-ФЗ от 18.07.2011

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

N 2202-1 от 17.01.1992

ФЗ о прокуратуре

N 127-ФЗ 26.10.2002

ФЗ о несостоятельности (банкротстве)

N 152-ФЗ от 27.07.2006

ФЗ о персональных данных

N 44-ФЗ от 05.04.2013

ФЗ о госзакупках

N 229-ФЗ от 02.10.2007

ФЗ об исполнительном производстве

N 53-ФЗ от 28.03.1998

ФЗ о воинской службе

N 395-1 от 02.12.1990

ФЗ о банках и банковской деятельности

ст. 333 ГК РФ

Уменьшение неустойки

ст. 317.1 ГК РФ

Проценты по денежному обязательству

ст. 395 ГК РФ

Ответственность за неисполнение денежного обязательства

ст 20.25 КоАП РФ

Уклонение от исполнения административного наказания

ст. 81 ТК РФ

Расторжение трудового договора по инициативе работодателя

ст. 78 БК РФ

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

ст. 12.8 КоАП РФ

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

ст. 161 БК РФ

Особенности правового положения казенных учреждений

ст. 77 ТК РФ

Общие основания прекращения трудового договора

ст. 144 УПК РФ

Порядок рассмотрения сообщения о преступлении

ст. 125 УПК РФ

Судебный порядок рассмотрения жалоб

ст. 24 УПК РФ

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

ст. 126 АПК РФ

Документы, прилагаемые к исковому заявлению

ст. 49 АПК РФ

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

ст. 125 АПК РФ

Форма и содержание искового заявления