|  |
www.lawsforall.ru / Распоряжение
"Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" РС БР ИББС-2.4-2010"
(приняты и введены в действие Распоряжением Банка России от 21.06.2010 № Р-705)
Официальная публикация в СМИ:
"Вестник Банка России", № 36 - 37, 29.06.2010
------------------------------------------------------------------
--> примечание.
Начало действия документа - 21.06.2010.
------------------------------------------------------------------
РЕКОМЕНДАЦИИ
В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ
РС БР ИББС-2.4-2010
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ
УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
Дата введения: 2010-06-21
Предисловие
1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 21 июня 2010 года № Р-705.
2. ВВЕДЕНЫ ВПЕРВЫЕ.
Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
Введение
В соответствии с действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) модели угроз и нарушителей должны быть основным инструментом организации банковской системы Российской Федерации (БС РФ) при развертывании, поддержании и совершенствовании системы обеспечения информационной безопасности.
Настоящая Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций БС РФ (далее - Отраслевая модель угроз) содержит актуальные для большинства организаций БС РФ угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн). Актуальные угрозы определены в результате проведения оценки рисков в соответствии с рекомендациями в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности".
1. Область применения
Настоящий документ распространяется на организации БС РФ и содержит актуальные для большинства организаций БС РФ угрозы безопасности персональных данных при их обработке в ИСПДн.
Настоящий документ рекомендован для применения путем включения ссылок и (или) прямого использования устанавливаемых в нем положений во внутренних документах организаций БС РФ.
В случае необходимости в организации БС РФ может быть составлена частная модель актуальных угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее - частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ. При этом:
- в случае сокращения набора угроз частной модели угроз (по сравнению с Отраслевой моделью угроз) рекомендуется проводить согласование частной модели угроз с Банком России и Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России);
- в случае расширения набора угроз частной модели угроз (по сравнению с Отраслевой моделью угроз) дополнительное согласование с Банком России и ФСТЭК России не требуется.
Положения настоящего руководства применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным актом Банка России или условиями договора.
В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз рекомендуется использовать рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности".
2. Нормативные ссылки
В настоящем документе использованы нормативные ссылки на СТО БР ИББС-1.0.
3. Термины и определения
В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, а также следующие термины с соответствующими определениями:
3.1. Источник угрозы безопасности персональных данных: Объект или субъект, реализующий угрозы безопасности персональных данных путем воздействия на объекты среды обработки персональных данных организации БС РФ.
3.2. Объект среды обработки персональных данных: Материальный объект среды хранения, передачи, обработки, уничтожения и т.д. персональных данных.
3.3. Оценка риска нарушения безопасности персональных данных: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения безопасности персональных данных, обрабатываемых в организации БС РФ.
3.4. Риск нарушения безопасности персональных данных <*>: Риск, связанный с угрозой безопасности персональных данных.
--------------------------------
<*> Риски нарушения безопасности персональных данных заключаются в возможности утраты свойств безопасности персональных данных в результате реализации угроз безопасности персональных данных, вследствие чего субъекту персональных данных и (или) организации БС РФ может быть нанесен ущерб.
3.5. Угроза безопасности персональных данных: Угроза нарушения свойств безопасности персональных данных - доступности, целостности или конфиденциальности персональных данных организации БС РФ.
4. Обозначения и сокращения
БС - банковская система;
ИСПДн - информационная система персональных данных;
НСД - несанкционированный доступ;
ПДн - персональные данные;
РФ - Российская Федерация.
5. Общий подход к составлению Отраслевой модели угроз
5.1. Угрозы безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) организаций БС РФ - это:
- угроза нарушения доступности ПДн;
- угроза нарушения целостности ПДн;
- угроза нарушения конфиденциальности <*> (неправомерное использование) ПДн, в том числе за счет хищения отчуждаемых машинных носителей с несанкционированно копированной информацией.
--------------------------------
<*> Конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия субъекта ПДн или иного законного основания (пункт 10 статьи 3 Федерального закона "О персональных данных"). Обеспечение конфиденциальности ПДн не требуется в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2 статьи 7 Федерального закона "О персональных данных").
5.2. Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн (далее - актуальные угрозы безопасности ПДн).
Актуальная угроза безопасности ПДн - угроза безопасности ПДн, риск реализации которой не является допустимым для организации БС РФ по результатам проведения оценки рисков нарушения безопасности персональных данных, обрабатываемых в ИСПДн.
5.3. Отраслевая модель угроз содержит единые исходные данные по актуальным для организации БС РФ угрозам безопасности ПДн, связанным с несанкционированным, в том числе случайным, доступом в ИСПДн с целью ознакомления, изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с целью уничтожения или блокирования ПДн.
В рамках настоящей Отраслевой модели угроз под доступом к ПДн понимаются ознакомление с ПДн, их обработка, в частности, копирование, модификация или уничтожение ПДн (в соответствии с Руководящим документом "Защита от несанкционированного доступа к информации. Термины и определения", Гостехкомиссия России. М.: Воениздат, 1992).
К несанкционированному доступу (НСД) к ПДн при их обработке в ИСПДн, в частности, относятся:
доступ к ПДн или действия с ПДн, нарушающие установленные права и (или) правила разграничения доступа с использованием штатных средств, предоставляемых ИСПДн;
несанкционированное воздействие на ресурсы ИСПДн, осуществляемое с использованием вредоносных программ (вредоносного кода).
6. Исходные данные Отраслевой модели угроз
6.1. Категории ПДн:
категория 1 - персональные данные, отнесенные в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") [3] к специальным категориям персональных данных;
категория 2 - персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" к биометрическим персональным данным;
категория 3 - персональные данные, которые не могут быть отнесены к категории 1, категории 2 или категории 4;
категория 4 - персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" к общедоступным или обезличенным персональным данным.
6.2. Перечень основных источников угроз безопасности ПДн:
- неблагоприятные события природного и техногенного характера;
- террористы, криминальные элементы;
- компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
- поставщики программно-технических средств, расходных материалов, услуг и т.п.;
- подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
- сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие вне рамок предоставленных полномочий;
- сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие в рамках предоставленных полномочий.
6.3. Уровни информационной инфраструктуры, на которых возможна реализация угроз безопасности ПДн:
- физический уровень;
- сетевой уровень;
- уровень сетевых приложений и сервисов;
- уровень операционных систем;
- уровень систем управления базами данных;
- уровень банковских технологических процессов и приложений.
7. Отраслевая модель угроз
Отраслевая модель угроз безопасности ПДн (Таблица) содержит обобщенное описание угроз безопасности ПДн для каждой категории ПДн, включающее:
- источник угрозы безопасности ПДн;
- угроза безопасности ПДн;
- уровень реализации угрозы безопасности ПДн;
- типы материальных объектов среды обработки ПДн (далее - типы объектов среды).
Таблица. Отраслевая модель угроз безопасности ПДн
----T----------------T-----------------T---------------T------------------¬
¦ № ¦Источник угрозы ¦ Уровень ¦ Типы объектов ¦ Угроза ¦
¦п/п¦безопасности ПДн¦реализации угрозы¦ среды ¦ безопасности ПД ¦
¦ ¦ ¦безопасности ПДн ¦ ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦ 1 ¦ 2 ¦ 3 ¦ 4 ¦ 5 ¦
+---+----------------+-----------------+---------------+------------------+
¦ ¦ПДн категории 1,¦ ¦ ¦ ¦
¦ ¦ПДн категории 2 ¦ ¦ ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦ 1 ¦Компьютерные ¦Сетевой уровень ¦Маршрутизаторы,¦ Нарушение ¦
¦ ¦злоумышленники, ¦ ¦коммутаторы, ¦ целостности ¦
+---+осуществляющие ¦ ¦концентраторы +------------------+
¦ 2 ¦целенаправленное¦ ¦ ¦ Нарушение ¦
¦ ¦деструктивное ¦ ¦ ¦ доступности ¦
+---+воздействие +-----------------+---------------+------------------+
¦ 3 ¦ ¦Уровень сетевых ¦Программные ¦ Нарушение ¦
¦ ¦ ¦приложений и ¦компоненты ¦ целостности ¦
+---+ ¦сервисов ¦передачи данных+------------------+
¦ 4 ¦ ¦ ¦по компьютерным¦ Нарушение ¦
¦ ¦ ¦ ¦сетям (сетевые ¦ доступности ¦
¦ ¦ ¦ ¦сервисы) ¦ ¦
+---+ +-----------------+---------------+------------------+
¦ 5 ¦ ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦ ¦операционных ¦ПДн ¦конфиденциальности¦
+---+ ¦систем ¦ +------------------+
¦ 6 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦ 7 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦ 8 ¦ ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦конфиденциальности¦
+---+ ¦данных ¦ +------------------+
¦ 9 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦10 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦11 ¦ ¦Уровень ¦Прикладные ¦ Нарушение ¦
¦ ¦ ¦банковских ¦программы ¦конфиденциальности¦
+---+ ¦технологических ¦доступа и +------------------+
¦12 ¦ ¦приложений и ¦обработки ПДн, ¦ Нарушение ¦
¦ ¦ ¦сервисов ¦автоматизиро- ¦ целостности ¦
¦ ¦ ¦ ¦ванные рабочие ¦ ¦
¦ ¦ ¦ ¦места ИСПДн ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦13 ¦Поставщики ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦программно- ¦операционных ¦ПДн ¦конфиденциальности¦
+---+технических ¦систем ¦ +------------------+
¦14 ¦средств, ¦ ¦ ¦ Нарушение ¦
¦ ¦расходных ¦ ¦ ¦ целостности ¦
+---+материалов, +-----------------+---------------+------------------+
¦15 ¦услуг и т.п. и ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦подрядчики, ¦управления базами¦ПДн ¦конфиденциальности¦
+---+осуществляющие ¦данных ¦ +------------------+
¦16 ¦монтаж, ¦ ¦ ¦ Нарушение ¦
¦ ¦пусконаладочные ¦ ¦ ¦ целостности ¦
+---+работы +-----------------+---------------+------------------+
¦17 ¦оборудования и ¦Уровень ¦Прикладные ¦ Нарушение ¦
¦ ¦его ремонт ¦банковских ¦программы ¦конфиденциальности¦
+---+ ¦технологических ¦доступа и +------------------+
¦18 ¦ ¦приложений и ¦обработки ПДн, ¦ Нарушение ¦
¦ ¦ ¦сервисов ¦автоматизиро- ¦ целостности ¦
¦ ¦ ¦ ¦ванные рабочие ¦ ¦
¦ ¦ ¦ ¦места ИСПДн ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦19 ¦Сотрудники, ¦Физический ¦Линии связи, ¦ Нарушение ¦
¦ ¦действующие в ¦уровень ¦аппаратные и ¦конфиденциальности¦
+---+рамках ¦ ¦технические +------------------+
¦20 ¦предоставленных ¦ ¦средства, ¦ Нарушение ¦
¦ ¦полномочий ¦ ¦серверы, ¦ целостности ¦
¦ ¦ ¦ ¦физические ¦ ¦
¦ ¦ ¦ ¦носители ¦ ¦
¦ ¦ ¦ ¦информации ¦ ¦
+---+ +-----------------+---------------+------------------+
¦21 ¦ ¦Сетевой уровень ¦Маршрутизаторы,¦ Нарушение ¦
¦ ¦ ¦ ¦коммутаторы, ¦конфиденциальности¦
+---+ ¦ ¦концентраторы +------------------+
¦22 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦23 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦24 ¦ ¦Уровень сетевых ¦Программные ¦ Нарушение ¦
¦ ¦ ¦приложений и ¦компоненты ¦конфиденциальности¦
+---+ ¦сервисов ¦передачи данных+------------------+
¦25 ¦ ¦ ¦по компьютерным¦ Нарушение ¦
¦ ¦ ¦ ¦сетям (сетевые ¦ целостности ¦
+---+ ¦ ¦сервисы) +------------------+
¦26 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦27 ¦ ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦ ¦операционных ¦ПДн ¦конфиденциальности¦
+---+ ¦систем ¦ +------------------+
¦28 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦29 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦30 ¦ ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦конфиденциальности¦
+---+ ¦данных ¦ +------------------+
¦31 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦32 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦33 ¦ ¦Уровень ¦Прикладные ¦ Нарушение ¦
¦ ¦ ¦банковских ¦программы ¦конфиденциальности¦
+---+ ¦технологических ¦доступа и +------------------+
¦34 ¦ ¦приложений и ¦обработки ПДн, ¦ Нарушение ¦
¦ ¦ ¦сервисов ¦автоматизиро- ¦ целостности ¦
+---+ ¦ ¦ванные рабочие +------------------+
¦35 ¦ ¦ ¦места ИСПДн ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+----------------+-----------------+---------------+------------------+
¦36 ¦Сотрудники, ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦действующие вне ¦операционных ¦ПДн ¦конфиденциальности¦
+---+рамок ¦систем ¦ +------------------+
¦37 ¦предоставленных ¦ ¦ ¦ Нарушение ¦
¦ ¦полномочий ¦ ¦ ¦ целостности ¦
+---+ +-----------------+---------------+------------------+
¦38 ¦ ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦конфиденциальности¦
+---+ ¦данных ¦ +------------------+
¦39 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ +-----------------+---------------+------------------+
¦40 ¦ ¦Уровень ¦Прикладные ¦ Нарушение ¦
¦ ¦ ¦банковских ¦программы ¦конфиденциальности¦
+---+ ¦технологических ¦доступа и +------------------+
¦41 ¦ ¦приложений и ¦обработки ПДн, ¦ Нарушение ¦
¦ ¦ ¦сервисов ¦автоматизиро- ¦ целостности ¦
¦ ¦ ¦ ¦ванные рабочие ¦ ¦
¦ ¦ ¦ ¦места ИСПДн ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦ ¦ПДн категории 3 ¦ ¦ ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦42 ¦Компьютерные ¦Сетевой уровень ¦Маршрутизаторы,¦ Нарушение ¦
¦ ¦злоумышленники, ¦ ¦коммутаторы, ¦ целостности ¦
+---+осуществляющие ¦ ¦концентраторы +------------------+
¦43 ¦целенаправленное¦ ¦ ¦ Нарушение ¦
¦ ¦деструктивное ¦ ¦ ¦ доступности ¦
+---+воздействие +-----------------+---------------+------------------+
¦44 ¦ ¦Уровень сетевых ¦Программные ¦ Нарушение ¦
¦ ¦ ¦приложений и ¦компоненты ¦ целостности ¦
+---+ ¦сервисов ¦передачи данных+------------------+
¦45 ¦ ¦ ¦по компьютерным¦ Нарушение ¦
¦ ¦ ¦ ¦сетям (сетевые ¦ доступности ¦
¦ ¦ ¦ ¦сервисы) ¦ ¦
+---+ +-----------------+---------------+------------------+
¦46 ¦ ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦ ¦операционных ¦ПДн ¦конфиденциальности¦
+---+ ¦систем ¦ +------------------+
¦47 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦48 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦49 ¦ ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦конфиденциальности¦
+---+ ¦данных ¦ +------------------+
¦50 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦51 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+----------------+-----------------+---------------+------------------+
¦52 ¦Сотрудники, ¦Физический ¦Линии связи, ¦ Нарушение ¦
¦ ¦действующие в ¦уровень ¦аппаратные и ¦конфиденциальности¦
+---+рамках ¦ ¦технические +------------------+
¦53 ¦предоставленных ¦ ¦средства, ¦ Нарушение ¦
¦ ¦полномочий ¦ ¦серверы, ¦ целостности ¦
¦ ¦ ¦ ¦физические ¦ ¦
¦ ¦ ¦ ¦носители ¦ ¦
¦ ¦ ¦ ¦информации ¦ ¦
+---+ +-----------------+---------------+------------------+
¦54 ¦ ¦Сетевой уровень ¦Маршрутизаторы,¦ Нарушение ¦
¦ ¦ ¦ ¦коммутаторы, ¦конфиденциальности¦
+---+ ¦ ¦концентраторы +------------------+
¦55 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦56 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦57 ¦ ¦Уровень сетевых ¦Программные ¦ Нарушение ¦
¦ ¦ ¦приложений и ¦компоненты ¦конфиденциальности¦
+---+ ¦сервисов ¦передачи данных+------------------+
¦58 ¦ ¦ ¦по компьютерным¦ Нарушение ¦
¦ ¦ ¦ ¦сетям (сетевые ¦ целостности ¦
+---+ ¦ ¦сервисы) +------------------+
¦59 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦60 ¦ ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦ ¦операционных ¦ПДн ¦конфиденциальности¦
+---+ ¦систем ¦ +------------------+
¦61 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦62 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦63 ¦ ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦конфиденциальности¦
+---+ ¦данных ¦ +------------------+
¦64 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦65 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦66 ¦ ¦Уровень ¦ ¦ Нарушение ¦
¦ ¦ ¦банковских ¦ ¦конфиденциальности¦
+---+ ¦технологических ¦ +------------------+
¦67 ¦ ¦приложений и ¦ ¦ Нарушение ¦
¦ ¦ ¦сервисов ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦68 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+----------------+-----------------+---------------+------------------+
¦69 ¦Сотрудники, ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦действующие вне ¦операционных ¦ПДн ¦конфиденциальности¦
+---+рамок ¦систем ¦ +------------------+
¦70 ¦предоставленных ¦ ¦ ¦ Нарушение ¦
¦ ¦полномочий ¦ ¦ ¦ целостности ¦
+---+ ¦ ¦ +------------------+
¦71 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦72 ¦ ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦конфиденциальности¦
+---+ ¦данных ¦ +------------------+
¦73 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ целостности ¦
+---+ +-----------------+---------------+------------------+
¦74 ¦ ¦Уровень ¦Прикладные ¦ Нарушение ¦
¦ ¦ ¦банковских ¦программы ¦конфиденциальности¦
+---+ ¦технологических ¦доступа и +------------------+
¦75 ¦ ¦приложений и ¦обработки ПДн, ¦ Нарушение ¦
¦ ¦ ¦сервисов ¦автоматизиро- ¦ целостности ¦
¦ ¦ ¦ ¦ванные рабочие ¦ ¦
¦ ¦ ¦ ¦места ИСПДн ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦ ¦ПДн категории 4 ¦ ¦ ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦76 ¦Компьютерные ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦злоумышленники, ¦операционных ¦ПДн ¦ целостности ¦
+---+осуществляющие ¦систем ¦ +------------------+
¦77 ¦целенаправленное¦ ¦ ¦ Нарушение ¦
¦ ¦деструктивное ¦ ¦ ¦ доступности ¦
+---+воздействие +-----------------+---------------+------------------+
¦78 ¦ ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦ целостности ¦
+---+ ¦данных ¦ +------------------+
¦79 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+----------------+-----------------+---------------+------------------+
¦80 ¦Сотрудники, ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦действующие в ¦операционных ¦ПДн ¦ целостности ¦
+---+рамках ¦систем ¦ +------------------+
¦81 ¦предоставленных ¦ ¦ ¦ Нарушение ¦
¦ ¦полномочий ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦82 ¦ ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦ целостности ¦
+---+ ¦данных ¦ +------------------+
¦83 ¦ ¦ ¦ ¦ Нарушение ¦
¦ ¦ ¦ ¦ ¦ доступности ¦
+---+ +-----------------+---------------+------------------+
¦84 ¦ ¦Уровень ¦Прикладные ¦ Нарушение ¦
¦ ¦ ¦банковских ¦программы ¦ целостности ¦
+---+ ¦технологических ¦доступа и +------------------+
¦85 ¦ ¦приложений и ¦обработки ПДн, ¦ Нарушение ¦
¦ ¦ ¦сервисов ¦автоматизиро- ¦ доступности ¦
¦ ¦ ¦ ¦ванные рабочие ¦ ¦
¦ ¦ ¦ ¦места ИСПДн ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦86 ¦Сотрудники, ¦Уровень ¦Файлы данных с ¦ Нарушение ¦
¦ ¦действующие вне ¦операционных ¦ПДн ¦ целостности ¦
¦ ¦рамок ¦систем ¦ ¦ ¦
+---+предоставленных +-----------------+---------------+------------------+
¦87 ¦полномочий ¦Уровень систем ¦Базы данных с ¦ Нарушение ¦
¦ ¦ ¦управления базами¦ПДн ¦ целостности ¦
¦ ¦ ¦данных ¦ ¦ ¦
+---+ +-----------------+---------------+------------------+
¦88 ¦ ¦Уровень ¦Прикладные ¦ Нарушение ¦
¦ ¦ ¦банковских ¦программы ¦ целостности ¦
¦ ¦ ¦технологических ¦доступа и ¦ ¦
¦ ¦ ¦приложений и ¦обработки ПДн, ¦ ¦
¦ ¦ ¦сервисов ¦автоматизиро- ¦ ¦
¦ ¦ ¦ ¦ванные рабочие ¦ ¦
¦ ¦ ¦ ¦места ИСПДн ¦ ¦
L---+----------------+-----------------+---------------+-------------------
Библиография
[1] Постановление Правительства РФ от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
[2] Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
[3] Федеральный закон "О персональных данных" от 27 июля 2006 г. № 152-ФЗ.
------------------------------------------------------------------
--------------------
| | |
|
