Минтранс разработал перечень угроз для персональных данных при их обработке в системах ведомства
Министерство транспорта РФ предложило утвердить модель угроз безопасности персональных данных при их обработке в информационных системах Минтранса, направленную на предотвращение неправомерного распространения этих данных, а также на контроль над обеспечением уровня защищённости таких сведений. Соответствующий проект ведомственного акта опубликован на официальном портале правовой информации.
Речь идёт о таких информационных системах Минтранса, как «Бухгалтерский учёт» и «Кадровый учёт». Также документом предлагается утвердить отраслевую модель угроз безопасности персональных данных при их обработке, в частности во внутренних локальных системах и федеральных информационных системах, которые эксплуатируются ведомством.
Отраслевая модель угроз разработана для построения систем защиты информационных систем в транспортной отрасли и при взаимодействии с перевозчиками, а также с субъектами транспортной инфраструктуры.
В документе, в частности, определены типовые для отраслевой информсистемы параметры угроз, такие как их источники, способы их реализации, уязвимости системы и деструктивные воздействия на защищаемые данные.
В списках угроз, разработанных для систем «Бухгалтерский учёт» и «Кадровый учёт» отмечается, что эти угрозы обусловлены преднамеренными или непреднамеренными действиями, создающими условия для нарушения безопасности данных, которые могут причинить ущерб жизненно важным интересам личности, общества и государства. Речь идёт о действиях со стороны граждан, зарубежных спецслужб или организаций, в том числе террористических, а также криминальных группировок.
Эти модели (для систем «Кадровый учёт» и «Бухгалтерский учёт») содержат данные по угрозам безопасности персональных данных, связанным с перехватом информации по техническим каналам для их копирования и неправомерного распространения, с несанкционированным, в том числе случайным, доступом в систему для изменения, копирования, незаконного распространения данных, а также с деструктивными воздействиями на элементы системы с использованием ПО для уничтожения или блокирования сведений.
Данные модели предназначены для анализа защищённости информационных систем от угроз, для разработки системы защиты сведений, которая нейтрализует предполагаемые угрозы с помощью методов и способов защиты, предусмотренных для соответствующего класса информационной системы. Также модель разработана для проведения мероприятий по предотвращению незаконного доступа к персональным данным и передачи их лицам, у которых нет права на доступ к такой информации. Кроме того, список угроз подготовлен, чтобы не допустить воздействия на технические средства систем, в результате которого может быть нарушена их работа, а также для контроля над обеспечением уровня защищённости персональных данных.
Модель угроз является методическим документом, она предназначена для должностных и ответственных лиц оператора персональных данных, администраторов информационных систем, а также их разработчиков.
Отмечается также, что указанный список угроз безопасности персональных данных может уточняться и дополняться по мере выявления новых источников опасности, развития способов и средств реализации угроз в системах.