08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).
Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.
Существует электронная СКУД, в которой есть фотографии (соответственно тип обрабатываемых данных биометрия). ОС в данной ИСПДн Win 7 (имеет сертификат ФСТЭК). Система изолированная, доступа в интернет нет. Доступ к системе имеет только определенный круг лиц (5 человек).
Можно ли в модели угроз прописать, что НДВ в ПО неактуальны?
Ситуация такова: в организации есть модель угроз, выполненная несколько лет назад.
Содержание модели угроз
2. ПРИНЦИПЫ МОДЕЛИ УГРОЗ
3. ОПИСАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Перечень ИСПДн
3.2. Принятые меры защиты ПДн
3.3. Исходные данные (классификация ИСПДн по классам)
3.4. Показатель исходной защищенности ИСПДн (согласно Методике определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных ФСТЭК)
4. МОДЕЛЬ НАРУШИТЕЛЯ
4.1. Описание внешних нарушителей
4.2. Описание внутренних нарушителей
4.3. Описание потенциальных нарушителей
4.4. Модель нарушителя для этапа разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредств и СФК
4.5. Модель нарушителя для этапа эксплуатации технических и программных средств криптосредства
4.5.1. Предположения об имеющейся у нарушителей информации об объектах атак
4.5.2. Предположения об имеющихся у нарушителя средствах атак
4.5.3. Описание каналов атак
4.5.4. Тип нарушителя
4.5.5. Определение уровня криптографической защиты
4.5.6. Определение угроз, реализуемых на этапе эксплуатации технических и программных средств криптосредства
5. ОБЩЕЕ ОПИСАНИЕ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Угрозы случайного (непреднамеренного) характера
5.1.1. Угрозы стихийного характера
5.1.2. Техногенные источники угроз безопасности ПДн
5.1.3. Угрозы непреднамеренных действий пользователей
5.2. Угрозы, связанные с несанкционированным доступом к информации
5.2.1. Характеристика потенциальных нарушителей
5.2.2. Характеристика носителей вредоносных программ
5.2.3. Характеристика аппаратных закладок
5.3. Угрозы утечки информации по техническим каналам
6. КЛАССИФИКАЦИЯ УГРОЗ, ПРЕДСТАВЛЯЮЩИХ ОПАСНОСТЬ ДЛЯ ПЕРСОНАЛЬНЫХ ДАННЫХ (перечень угроз, представляющих опасность для ПДн)
7. ОПРЕДЕЛЕНИЕ УГРОЗ, АКТУАЛЬНЫХ ДЛЯ ИСПДн
7.1. Алгоритм определения актуальных угроз (угрозы из прошлого пункта согласно Методике определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных ФСТЭК)
7.2. Обоснование определения коэффициента реализации угроз и степени опасности угроз
7.2.1. Угрозы стихийного характера
7.2.2. Угрозы техногенного характера
7.2.3. Угрозы непреднамеренных действий пользователей
7.2.3.1. Непредумышленное искажение или удаление программных компонентов ИСПДн
7.2.3.2. Внедрение и использование неучтенных программ
7.2.3.3. Нарушение правил хранения парольной информации
7.2.3.4. Случайное внедрение вредоносных программ
7.2.3.5. Непреднамеренное отключение или удаление средств защиты информации
7.2.3.6. Вывод из строя ТС ИСПДн
7.2.4. Угрозы физического доступа к ресурсам ИСПДн
7.2.4.1. Хищение съемных носителей информации, содержащей ПДн
7.2.4.2. Получение посторонними лицами возможности доступа к ТС ИСПДн
7.2.5. Угрозы непосредственного доступа в ОС ИСПДн
7.2.5.1. Получение доступа к информации и командам, хранящимся в BIOS
7.2.5.2. Получение доступа в операционную среду
7.2.5.3. Получение прямого доступа к файлам, содержащим ПДн
7.2.5.4. Доступ к остаточной информации на ЖМД ПЭВМ из состава ТС ИСПДн
7.2.6. Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия
7.2.7. Угрозы внедрения вредоносных программ
7.2.8. Угрозы внедрения аппаратных закладок
7.2.9. Угрозы утечки акустической (речевой) информации
7.2.10. Угрозы утечки видовой информации
7.2.11. Угрозы утечки информации по каналам ПЭМИН
7.3. Перечень актуальных угроз (согласно Методике определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных ФСТЭК)
Хотели привести модель угроз в соответствии с ПП 1119 и 21 Приказом. подскажите пожалуйста, какие пункты следует оставить? какие изменить? возможно что-то добавить нужно?
Заранее спасибо.
Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.
[B]Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.[/B]
Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
Организация маленькая и сотрудников не более 11 человек.
- Купили для бухгалтера компьютер с Windows 7 Pro (в обычном IT магазине, боксовая версия => не сертифицирована)
- Был установлен, купленый незадолго до этого, NOD_32 (тот у которого ещё 3 в 1)
- Естественно установлен 1С