О перечне угроз безопасности персональных данных (ПДн), актуальных при обработке ПДн в информационных системах ПДн кредитных организаций
15.04.2016 вступает в силу указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных". Документом определен перечень угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных (за исключением информационных систем персональных данных, относящихся к биометрическим персональным данным, персональным данным, полученным из общедоступных источников). Такими угрозами являются:
- угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
- угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
- угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
- угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
- угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.
Также документом установлено, что определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных производится оператором указанной информационной системы.
Лучшие технологии корпоративного обучения от Агентства "ВЭП":
30.03.2016
