есанкционированного доступа к информации. Термины и определения", Гостехкомиссия России. М.: Воениздат, 1992).
К несанкционированному доступу (НСД) к ПДн при их обработке в ИСПДн, в частности, относятся:
доступ к ПДн или действия с ПДн, нарушающие установленные права и (или) правила разграничения доступа с использованием штатных средств, предоставляемых ИСПДн;
несанкционированное воздействие на ресурсы ИСПДн, осуществляемое с использованием вредоносных программ (вредоносного кода).
6. Исходные данные Отраслевой модели угроз
6.1. Категории ПДн:
категория 1 - персональные данные, отнесенные в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") [3] к специальным категориям персональных данных;
категория 2 - персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" к биометрическим персональным данным;
категория 3 - персональные данные, которые не могут быть отнесены к категории 1, категории 2 или категории 4;
категория 4 - персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" к общедоступным или обезличенным персональным данным.
6.2. Перечень основных источников угроз безопасности ПДн:
- неблагоприятные события природного и техногенного характера;
- террористы, криминальные элементы;
- компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
- поставщики программно-технических средств, расходных материалов, услуг и т.п.;
- подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
- сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие вне рамок предоставленных полномочий;
- сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие в рамках предоставленных полномочий.
6.3. Уровни информационной инфраструктуры, на которых возможна реализация угроз безопасности ПДн:
- физический уровень;
- сетевой уровень;
- уровень сетевых приложений и сервисов;
- уровень операционных систем;
- уровень систем управления базами данных;
- уровень банковских технологических процессов и приложений.
7. Отраслевая модель угроз
Отраслевая модель угроз безопасности ПДн (Таблица) содержит обобщенное описание угроз безопасности ПДн для каждой категории ПДн, включающее:
- источник угрозы безопасности ПДн;
- угроза безопасности ПДн;
- уровень реализации угрозы безопасности ПДн;
- типы материальных объектов среды обработки ПДн (далее - типы объектов среды).
Таблица. Отраслевая модель угроз безопасности ПДн
----T----------------T-----------------T---------------T------------------¬
¦ N ¦Источник угрозы ¦ Уровень ¦ Типы объектов ¦ Угроза ¦
¦п/п¦безопасности ПДн¦реализации угрозы¦ среды ¦ безопасности ПД ¦
¦ ¦ ¦безопасности ПДн ¦ ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦ 1 ¦ 2 ¦ 3 ¦ 4 ¦ 5 ¦
+---+----------------+-----------------+---------------+------------------+
¦ ¦ПДн категории 1,¦ ¦ ¦ ¦
¦ ¦ПДн категории 2 ¦ ¦ ¦ ¦
+---+----------------+-----------------+---------------+------------------+
¦ 1 ¦Компьютерные ¦Сетевой
> 1 2 3 4 ... 8 9 10