"Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" РС БР ИББС-2.4-2010" (приняты и введены в действие Распоряжением Банка России от 21.06.2010 N Р-705)
В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 21 июня 2010 года N Р-705.
Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
В соответствии с действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) модели угроз и нарушителей должны быть основным инструментом организации банковской системы Российской Федерации (БС РФ) при развертывании, поддержании и совершенствовании системы обеспечения информационной безопасности.
Настоящая Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций БС РФ (далее - Отраслевая модель угроз) содержит актуальные для большинства организаций БС РФ угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн). Актуальные угрозы определены в результате проведения оценки рисков в соответствии с рекомендациями в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности".
Настоящий документ распространяется на организации БС РФ и содержит актуальные для большинства организаций БС РФ угрозы безопасности персональных данных при их обработке в ИСПДн.
Настоящий документ рекомендован для применения путем включения ссылок и (или) прямого использования устанавливаемых в нем положений во внутренних документах организаций БС РФ.
В случае необходимости в организации БС РФ может быть составлена частная модель актуальных угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее - частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ. При этом:
- в случае сокращения набора угроз частной модели угроз (по сравнению с Отраслевой моделью угроз) рекомендуется проводить согласование частной модели угроз с Банком России и Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России);
- в случае расширения набора угроз частной модели угроз (по сравнению с Отраслевой моделью угроз) дополнительное согласование с Банком России и ФСТЭК России не требуется.
Положения настоящего руководства применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным актом Банка России или условиями договора.
В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз рекомендуется использовать рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности".
В настоящем документе использованы нормативные ссылки на СТО БР ИББС-1.0.
В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, а также следующие термины с соответствующими определениями:
3.1. Источник угрозы безопасности персональных данных: Объект или субъект, реализующий угрозы безопасности персональных данных путем воздействия на объекты среды обработки персональных данных организации БС РФ.
3.2. Объект среды обработки персональных данных: Материальный объект среды хранения, передачи, обработки, уничтожения и т.д. персональных данных.
3.3. Оценка риска нарушения безопасности персональных данных: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения безопасности персональных данных, обрабатываемых в организации БС РФ.
3.4. Риск нарушения безопасности персональных данных <*>: Риск, связанный с угрозой безопасности персональных данных.
--------------------------------
<*> Риски нарушения безопасности персональных данных заключаются в возможности утраты свойств безопасности персональных данных в результате реализации угроз безопасности персональных данных, вследствие чего субъекту персональных данных и (или) организации БС РФ может быть нанесен ущерб.
3.5. Угроза безопасности персональных данных: Угроза нарушения свойств безопасности персональных данных - доступности, целостности или конфиденциальности персональных данных организации БС РФ.
ИСПДн - информационная система персональных данных;
НСД - несанкционированный доступ;
5. Общий подход к составлению Отраслевой модели угроз
5.1. Угрозы безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) организаций БС РФ - это:
- угроза нарушения доступности ПДн;
- угроза нарушения целостности ПДн;
- угроза нарушения конфиденциальности <*> (неправомерное использование) ПДн, в том числе за счет хищения отчуждаемых машинных носителей с несанкционированно копированной информацией.
--------------------------------
<*> Конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия субъекта ПДн или иного законного основания (пункт 10 статьи 3 Федерального закона "О персональных данных"). Обеспечение конфиденциальности ПДн не требуется в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2 статьи 7 Федерального закона "О персональных данных").
5.2. Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн (далее - актуальные угрозы безопасности ПДн).
Актуальная угроза безопасности ПДн - угроза безопасности ПДн, риск реализации которой не является допустимым для организации БС РФ по результатам проведения оценки рисков нарушения безопасности персональных данных, обрабатываемых в ИСПДн.
5.3. Отраслевая модель угроз содержит единые исходные данные по актуальным для организации БС РФ угрозам безопасности ПДн, связанным с несанкционированным, в том числе случайным, доступом в ИСПДн с целью ознакомления, изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с целью уничтожения или блокирования ПДн.
В рамках настоящей Отраслевой модели угроз под доступом к ПДн понимаются ознакомление с ПДн, их обработка, в частности, копирование, модификация или уничтожение ПДн (в соответствии с Руководящим документом "Защита от несанкционированного доступа к информации. Термины и определения", Гостехкомиссия России. М.: Воениздат, 1992).
К несанкционированному доступу (НСД) к ПДн при их обработке в ИСПДн, в частности, относятся:
доступ к ПДн или действия с ПДн, нарушающие установленные права и (или) правила разграничения доступа с использованием штатных средств, предоставляемых ИСПДн;
несанкционированное воздействие на ресурсы ИСПДн, осуществляемое с использованием вредоносных программ (вредоносного кода).
6. Исходные данные Отраслевой модели угроз
категория 1 - персональные данные, отнесенные в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") [3] к специальным категориям персональных данных;
категория 2 - персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" к биометрическим персональным данным;
категория 3 - персональные данные, которые не могут быть отнесены к категории 1, категории 2 или категории 4;
категория 4 - персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" к общедоступным или обезличенным персональным данным.
6.2. Перечень основных источников угроз безопасности ПДн:
- неблагоприятные события природного и техногенного характера;
- террористы, криминальные элементы;
- компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
- поставщики программно-технических средств, расходных материалов, услуг и т.п.;
- подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
- сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие вне рамок предоставленных полномочий;
- сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие в рамках предоставленных полномочий.
6.3. Уровни информационной инфраструктуры, на которых возможна реализация угроз безопасности ПДн:
- уровень сетевых приложений и сервисов;
- уровень операционных систем;
- уровень систем управления базами данных;
- уровень банковских технологических процессов и приложений.
Отраслевая модель угроз безопасности ПДн (Таблица) содержит обобщенное описание угроз безопасности ПДн для каждой категории ПДн, включающее:
- источник угрозы безопасности ПДн;
- уровень реализации угрозы безопасности ПДн;
- типы материальных объектов среды обработки ПДн (далее - типы объектов среды).
Таблица. Отраслевая модель угроз безопасности ПДн
┌───┬────────────────┬─────────────────┬───────────────┬──────────────────┐
│ N │Источник угрозы │ Уровень │ Типы объектов │ Угроза │
│п/п│безопасности ПДн│реализации угрозы│ среды │ безопасности ПД │
│ │ │безопасности ПДн │ │ │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│ │ПДн категории 2 │ │ │ │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│ 1 │Компьютерные │Сетевой уровень │Маршрутизаторы,│ Нарушение │
│ │злоумышленники, │ │коммутаторы, │ целостности │
├───┤осуществляющие │ │концентраторы ├──────────────────┤
│ 2 │целенаправленное│ │ │ Нарушение │
│ │деструктивное │ │ │ доступности │
├───┤воздействие ├─────────────────┼───────────────┼──────────────────┤
│ 3 │ │Уровень сетевых │Программные │ Нарушение │
│ │ │приложений и │компоненты │ целостности │
├───┤ │сервисов │передачи данных├──────────────────┤
│ 4 │ │ │по компьютерным│ Нарушение │
│ │ │ │сетям (сетевые │ доступности │
│ │ │ │сервисы) │ │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│ 5 │ │Уровень │Файлы данных с │ Нарушение │
│ │ │операционных │ПДн │конфиденциальности│
├───┤ │систем │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│ 8 │ │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │конфиденциальности│
├───┤ │данных │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│11 │ │Уровень │Прикладные │ Нарушение │
│ │ │банковских │программы │конфиденциальности│
├───┤ │технологических │доступа и ├──────────────────┤
│12 │ │приложений и │обработки ПДн, │ Нарушение │
│ │ │сервисов │автоматизиро- │ целостности │
│ │ │ │ванные рабочие │ │
│ │ │ │места ИСПДн │ │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│13 │Поставщики │Уровень │Файлы данных с │ Нарушение │
│ │программно- │операционных │ПДн │конфиденциальности│
├───┤технических │систем │ ├──────────────────┤
│14 │средств, │ │ │ Нарушение │
│ │расходных │ │ │ целостности │
├───┤материалов, ├─────────────────┼───────────────┼──────────────────┤
│15 │услуг и т.п. и │Уровень систем │Базы данных с │ Нарушение │
│ │подрядчики, │управления базами│ПДн │конфиденциальности│
├───┤осуществляющие │данных │ ├──────────────────┤
│16 │монтаж, │ │ │ Нарушение │
│ │пусконаладочные │ │ │ целостности │
├───┤работы ├─────────────────┼───────────────┼──────────────────┤
│17 │оборудования и │Уровень │Прикладные │ Нарушение │
│ │его ремонт │банковских │программы │конфиденциальности│
├───┤ │технологических │доступа и ├──────────────────┤
│18 │ │приложений и │обработки ПДн, │ Нарушение │
│ │ │сервисов │автоматизиро- │ целостности │
│ │ │ │ванные рабочие │ │
│ │ │ │места ИСПДн │ │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│19 │Сотрудники, │Физический │Линии связи, │ Нарушение │
│ │действующие в │уровень │аппаратные и │конфиденциальности│
├───┤рамках │ │технические ├──────────────────┤
│20 │предоставленных │ │средства, │ Нарушение │
│ │полномочий │ │серверы, │ целостности │
│ │ │ │физические │ │
│ │ │ │носители │ │
│ │ │ │информации │ │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│21 │ │Сетевой уровень │Маршрутизаторы,│ Нарушение │
│ │ │ │коммутаторы, │конфиденциальности│
├───┤ │ │концентраторы ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│24 │ │Уровень сетевых │Программные │ Нарушение │
│ │ │приложений и │компоненты │конфиденциальности│
├───┤ │сервисов │передачи данных├──────────────────┤
│25 │ │ │по компьютерным│ Нарушение │
│ │ │ │сетям (сетевые │ целостности │
├───┤ │ │сервисы) ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│27 │ │Уровень │Файлы данных с │ Нарушение │
│ │ │операционных │ПДн │конфиденциальности│
├───┤ │систем │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│30 │ │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │конфиденциальности│
├───┤ │данных │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│33 │ │Уровень │Прикладные │ Нарушение │
│ │ │банковских │программы │конфиденциальности│
├───┤ │технологических │доступа и ├──────────────────┤
│34 │ │приложений и │обработки ПДн, │ Нарушение │
│ │ │сервисов │автоматизиро- │ целостности │
├───┤ │ │ванные рабочие ├──────────────────┤
│35 │ │ │места ИСПДн │ Нарушение │
│ │ │ │ │ доступности │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│36 │Сотрудники, │Уровень │Файлы данных с │ Нарушение │
│ │действующие вне │операционных │ПДн │конфиденциальности│
├───┤рамок │систем │ ├──────────────────┤
│37 │предоставленных │ │ │ Нарушение │
│ │полномочий │ │ │ целостности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│38 │ │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │конфиденциальности│
├───┤ │данных │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│40 │ │Уровень │Прикладные │ Нарушение │
│ │ │банковских │программы │конфиденциальности│
├───┤ │технологических │доступа и ├──────────────────┤
│41 │ │приложений и │обработки ПДн, │ Нарушение │
│ │ │сервисов │автоматизиро- │ целостности │
│ │ │ │ванные рабочие │ │
│ │ │ │места ИСПДн │ │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│42 │Компьютерные │Сетевой уровень │Маршрутизаторы,│ Нарушение │
│ │злоумышленники, │ │коммутаторы, │ целостности │
├───┤осуществляющие │ │концентраторы ├──────────────────┤
│43 │целенаправленное│ │ │ Нарушение │
│ │деструктивное │ │ │ доступности │
├───┤воздействие ├─────────────────┼───────────────┼──────────────────┤
│44 │ │Уровень сетевых │Программные │ Нарушение │
│ │ │приложений и │компоненты │ целостности │
├───┤ │сервисов │передачи данных├──────────────────┤
│45 │ │ │по компьютерным│ Нарушение │
│ │ │ │сетям (сетевые │ доступности │
│ │ │ │сервисы) │ │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│46 │ │Уровень │Файлы данных с │ Нарушение │
│ │ │операционных │ПДн │конфиденциальности│
├───┤ │систем │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│49 │ │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │конфиденциальности│
├───┤ │данных │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│52 │Сотрудники, │Физический │Линии связи, │ Нарушение │
│ │действующие в │уровень │аппаратные и │конфиденциальности│
├───┤рамках │ │технические ├──────────────────┤
│53 │предоставленных │ │средства, │ Нарушение │
│ │полномочий │ │серверы, │ целостности │
│ │ │ │физические │ │
│ │ │ │носители │ │
│ │ │ │информации │ │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│54 │ │Сетевой уровень │Маршрутизаторы,│ Нарушение │
│ │ │ │коммутаторы, │конфиденциальности│
├───┤ │ │концентраторы ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│57 │ │Уровень сетевых │Программные │ Нарушение │
│ │ │приложений и │компоненты │конфиденциальности│
├───┤ │сервисов │передачи данных├──────────────────┤
│58 │ │ │по компьютерным│ Нарушение │
│ │ │ │сетям (сетевые │ целостности │
├───┤ │ │сервисы) ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│60 │ │Уровень │Файлы данных с │ Нарушение │
│ │ │операционных │ПДн │конфиденциальности│
├───┤ │систем │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│63 │ │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │конфиденциальности│
├───┤ │данных │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│66 │ │Уровень │ │ Нарушение │
│ │ │банковских │ │конфиденциальности│
├───┤ │технологических │ ├──────────────────┤
│67 │ │приложений и │ │ Нарушение │
│ │ │сервисов │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│69 │Сотрудники, │Уровень │Файлы данных с │ Нарушение │
│ │действующие вне │операционных │ПДн │конфиденциальности│
├───┤рамок │систем │ ├──────────────────┤
│70 │предоставленных │ │ │ Нарушение │
│ │полномочий │ │ │ целостности │
├───┤ │ │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│72 │ │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │конфиденциальности│
├───┤ │данных │ ├──────────────────┤
│ │ │ │ │ целостности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│74 │ │Уровень │Прикладные │ Нарушение │
│ │ │банковских │программы │конфиденциальности│
├───┤ │технологических │доступа и ├──────────────────┤
│75 │ │приложений и │обработки ПДн, │ Нарушение │
│ │ │сервисов │автоматизиро- │ целостности │
│ │ │ │ванные рабочие │ │
│ │ │ │места ИСПДн │ │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│76 │Компьютерные │Уровень │Файлы данных с │ Нарушение │
│ │злоумышленники, │операционных │ПДн │ целостности │
├───┤осуществляющие │систем │ ├──────────────────┤
│77 │целенаправленное│ │ │ Нарушение │
│ │деструктивное │ │ │ доступности │
├───┤воздействие ├─────────────────┼───────────────┼──────────────────┤
│78 │ │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │ целостности │
├───┤ │данных │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│80 │Сотрудники, │Уровень │Файлы данных с │ Нарушение │
│ │действующие в │операционных │ПДн │ целостности │
├───┤рамках │систем │ ├──────────────────┤
│81 │предоставленных │ │ │ Нарушение │
│ │полномочий │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│82 │ │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │ целостности │
├───┤ │данных │ ├──────────────────┤
│ │ │ │ │ доступности │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│84 │ │Уровень │Прикладные │ Нарушение │
│ │ │банковских │программы │ целостности │
├───┤ │технологических │доступа и ├──────────────────┤
│85 │ │приложений и │обработки ПДн, │ Нарушение │
│ │ │сервисов │автоматизиро- │ доступности │
│ │ │ │ванные рабочие │ │
│ │ │ │места ИСПДн │ │
├───┼────────────────┼─────────────────┼───────────────┼──────────────────┤
│86 │Сотрудники, │Уровень │Файлы данных с │ Нарушение │
│ │действующие вне │операционных │ПДн │ целостности │
│ │рамок │систем │ │ │
├───┤предоставленных ├─────────────────┼───────────────┼──────────────────┤
│87 │полномочий │Уровень систем │Базы данных с │ Нарушение │
│ │ │управления базами│ПДн │ целостности │
│ │ │данных │ │ │
├───┤ ├─────────────────┼───────────────┼──────────────────┤
│88 │ │Уровень │Прикладные │ Нарушение │
│ │ │банковских │программы │ целостности │
│ │ │технологических │доступа и │ │
│ │ │приложений и │обработки ПДн, │ │
│ │ │сервисов │автоматизиро- │ │
│ │ │ │ванные рабочие │ │
│ │ │ │места ИСПДн │ │
└───┴────────────────┴─────────────────┴───────────────┴──────────────────┘
[1] Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
[2] Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
[3] Федеральный закон "О персональных данных" от 27 июля 2006 г. N 152-ФЗ.
1.3. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз);
- Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз);
ФЗ о страховых пенсиях
ФЗ о пожарной безопасности
ФЗ об ОСАГО
ФЗ об образовании
ФЗ о государственной гражданской службе
ФЗ о государственном оборонном заказе
О защите прав потребителей
ФЗ о противодействии коррупции
ФЗ о рекламе
ФЗ об охране окружающей среды
ФЗ о полиции
ФЗ о бухгалтерском учете
ФЗ о защите конкуренции
ФЗ о лицензировании отдельных видов деятельности
ФЗ об ООО
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
ФЗ о прокуратуре
ФЗ о несостоятельности (банкротстве)
ФЗ о персональных данных
ФЗ о госзакупках
ФЗ об исполнительном производстве
ФЗ о воинской службе
ФЗ о банках и банковской деятельности
Уменьшение неустойки
Проценты по денежному обязательству
Ответственность за неисполнение денежного обязательства
Уклонение от исполнения административного наказания
Расторжение трудового договора по инициативе работодателя
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
Особенности правового положения казенных учреждений
Общие основания прекращения трудового договора
Порядок рассмотрения сообщения о преступлении
Судебный порядок рассмотрения жалоб
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
Документы, прилагаемые к исковому заявлению
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
Форма и содержание искового заявления