При применении документа следует учитывать, что Постановлением Правительства РФ от 01.11.2012 N 1119 утверждены новые Требования к защите персональных данных при их обработке в информационных системах персональных данных.
"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008)

Классификация угроз безопасности персональных данных

По виду защищаемой от УБПДн информации, содержащей ПДн

┌─────────┐ ┌─────────┐ ┌────────────────────────────────────────┐ ┌──────────────────────────────────────┐

│Угрозы РИ│ │Угрозы ВИ│ │Угрозы информации, обрабатываемой в ТСОИ│ │Угрозы информации, обрабатываемой в АС│

└─────────┘ └─────────┘ └────────────────────────────────────────┘ └──────────────────────────────────────┘

По видам возможных источников УБПДн

┌─────────────────────────┐ ┌──────────────────────┐ ┌────────────────────────┐

│ Создаваемые нарушителем │ │Создаваемые аппаратной│ │Создаваемые вредоносными│

│ (физическим лицом) │ │ закладкой │ │ программами │

└┬────────────────────────┘ └┬─────────────────────┘ └┬───────────────────────┘

│ ┌──────────────────────┐ │ ┌──────────────────────┐ │ ┌───────────────────────────────────────────────────────┐

├─┤Создаваемые внутренним│ ├─┤Создаваемые встроенной│ ├─┤программной закладкой, программой типа "Троянский конь"│

│ │нарушителем │ │ │закладкой │ │ └───────────────────────────────────────────────────────┘

│ └──────────────────────┘ │ └──────────────────────┘ │ ┌───────────────────────────────────────────────────────┐

│ ┌─────────────────────┐ │ ┌──────────────────────┐ ├─┤программным вирусом │

└──┤Создаваемые внешним │ └─┤Создаваемые автономной│ │ └───────────────────────────────────────────────────────┘

│нарушителем │ │закладкой │ │ ┌───────────────────────────────────────────────────────┐

└─────────────────────┘ └──────────────────────┘ ├─┤вредоносной программой, распространяющейся по сети │

│ │(сетевым червем) │

│ └───────────────────────────────────────────────────────┘

│ ┌───────────────────────────────────────────────────────┐

└─┤другими вредоносными программами, предназначенными для │

│осуществления НСД (подбора паролей, удаленного доступа │

│и др.) │

└───────────────────────────────────────────────────────┘

По виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн)

┌────────────────────────────────────────────────────┐ ┌───────────────────────────────────┐ ┌─────────────────────────┐

│Угрозы конфиденциальности (утечки, перехвата, съема,│ │ Угрозы целостности (утраты, │ │ Угрозы доступности │

│ копирования, хищения, разглашения) информации │ │уничтожения, модификации информации│ │(блокирования) информации│

└────────────────────────────────────────────────────┘ └───────────────────────────────────┘ └─────────────────────────┘

По типу ИСПДн, на которые направлена реализация УБПДн

┌──────────────────────────────────┐ ┌────────────────────────────────────────┐ ┌──────────────────────────────────────────┐

│ Угрозы безопасности ПДн, │ │Угрозы безопасности ПДн, обрабатываемых │ │ Угрозы безопасности ПДн, обрабатываемых │

│обрабатываемых в ИСПДн на базе АРМ│ │в ИСПДн на базе локальной вычислительной│ │ в ИСПДн на базе распределенных │

│(с подключением и без подключения │ │ сети (с подключением и без подключения │ │ информационных систем(с подключением, │

│ к вычислительной сети) │ │к распределенной вычислительной сети │ │без подключения к сети общего пользования)│

└──────────────────────────────────┘ └────────────────────────────────────────┘ └──────────────────────────────────────────┘

По способам реализации УБПДн

┌──────────────────────────────┐ ┌──────────────────┐ ┌────────────────────────┐

│Угрозы специальных воздействий│ │Угрозы НСД в ИСПДн│ │Угрозы утечки информации│

│ на ИСПДн │ │ │ │ по техническим каналам │

└┬─────────────────────────────┘ └┬─────────────────┘ └─────────────┬─┬────────┘

│ ┌──────────────────────────┐ │ ┌────────────────────┐ ┌─────────────────┐ │ │ ┌────────────────┐

├──┤механического воздействия │ │ │Угрозы, реализуемые │ │ по радиоканалу ├──┤ ├──┤Угрозы утечки РИ│

│ └──────────────────────────┘ ├─┤ с применением │ └─────────────────┘ │ │ └────────────────┘

│ ┌──────────────────────────┐ │ │программных средств│ ┌─────────────────┐ │ │ ┌────────────────┐

├──┤химического воздействия │ │ │операционной системы│ │по электрическому├──┤ ├──┤Угрозы утечки ВИ│

│ └──────────────────────────┘ │ └────────────────────┘ │ каналу │ │ │ └────────────────┘

│ ┌──────────────────────────┐ │ ┌────────────────────┐ └─────────────────┘ │ │ ┌────────────────┐

├──┤акустического воздействия │ ┌─────────────────┐│ │Угрозы, реализуемые │ ┌─────────────────┐ │ │ │ Угрозы утечки │

│ └──────────────────────────┘ │ электрическими │├─┤ с применением │ │ по оптическому ├──┤ │ │ информации │

│ ┌──────────────────────────┐ ┌─┤ импульсами ││ │ специально │ │ каналу │ │ └──┤по каналам ПЭМИН│

├──┤биологического воздействия│ │ └─────────────────┘│ │ разработанного ПО │ └─────────────────┘ │ └────────────────┘

│ └──────────────────────────┘ │ ┌─────────────────┐│ └────────────────────┘ ┌─────────────────┐ │

│ ┌──────────────────────────┐ ├─┤электромагнитными││ ┌────────────────────┐ │по акустическому │ │

├──┤радиационного воздействия │ │ │ излучениями ││ │Угрозы, реализуемые │ │ (вибрационному) ├──┤

│ └──────────────────────────┘ │ └─────────────────┘└─┤ с применением │ │ каналу │ │

│ ┌──────────────────────────┐ │ ┌─────────────────┐ │вредоносных программ│ └─────────────────┘ │

├──┤термического воздействия │ ┌┴─┤ магнитным полем │ └────────────────────┘ ┌─────────────────┐ │

│ └──────────────────────────┘ │ └─────────────────┘ │ по смешанным │ │

│ ┌──────────────────────────┐ │ │(параметрическим)├──┘

└──┤электромагнитного ├─┘ │ каналам │

│воздействия │ └─────────────────┘

└──────────────────────────┘

По используемой уязвимости

┌────────────────┐ ┌────────────────┐ ┌────────────────┐ ┌───────────────────┐ ┌────────────────┐ ┌───────────────────┐ ┌────────────────┐

│С использованием│ │С использованием│ │С использованием│ │С использованием │ │С использованием│ │ С использованием │ │С использованием│

│ уязвимости │ │ уязвимости │ │ уязвимости, │ │ уязвимости │ │ уязвимости, │ │ уязвимостей, │ │уязвимостей СЗИ │

│ системного ПО │ │ прикладного ПО │ │ вызванной │ │протоколов сетевого│ │ вызванной │ │ обусловливающих │ │ │

│ │ │ │ │ наличием в АС │ │ взаимодействия │ │ недостатками │ │наличие технических│ │ │

│ │ │ │ │ аппаратной │ │и каналов передачи │ │ организации │ │ каналов утечки │ │ │

│ │ │ │ │ закладки │ │ данных │ │ ТЗИ от НСД │ │ информации │ │ │

└────────────────┘ └────────────────┘ └────────────────┘ └───────────────────┘ └────────────────┘ └───────────────────┘ └────────────────┘

По объекту воздействия

┌────────────────────────────┐ ┌────────────────────────┐ ┌───────────────────┐ ┌─────────────────────────────┐ ┌──────────────────────┐

│УБПДн, обрабатываемых на АРМ│ │ УБПДн, обрабатываемых │ │УБПДн, передаваемых│ │Угрозы прикладным программам,│ │Угрозы системному │

└┬───────────────────────────┘ │в выделенных технических│ │ по сетям связи │ │предназначенным для работы │ │ПО, обеспечивающему │

│ ┌────────────────────────┐ │ средствах обработки │ │ │ │ с ПДн │ │функционирование ИСПДн│

├──┤На отчуждаемых носителях│ ├────────────────────────┘ └────┬──────────────┘ └─────────────────────────────┘ └──────────────────────┘

│ │ информации │ │ ┌──────────────────────────┐ │ ┌────────────────────┐

│ └────────────────────────┘ ├──┤ На принтера, плоттерах, │ ├──┤ УБПДн при передаче │

│ ┌────────────────────────┐ │ │ графопостроителях и т.п. │ │ │ сигналов по линиям │

├──┤На встроенных носителях │ │ └──────────────────────────┘ │ │ связи │

│ │ долговременного │ │ ┌──────────────────────────┐ │ └────────────────────┘

│ │ хранения информации │ ├──┤На выносных терминалах, │ │ ┌────────────────────┐

│ └────────────────────────┘ │ │мониторах, видеопроекторах│ │ │УБПДн при обработке │

│ ┌────────────────────────┐ │ └──────────────────────────┘ └──┤ пакетов │

├──┤В средствах обработки и │ │ ┌──────────────────────────┐ │ в коммуникационных │

│ │ хранения оперативной │ └──┤В средствах звукоусиления,│ │ элементах │

│ │ информации │ │ звуковоспроизведения │ │ информационно- │

│ └────────────────────────┘ └──────────────────────────┘ │телекоммуникационных│

│ ┌────────────────────────┐ │ систем │

└──┤ В средствах (портах) │ └────────────────────┘

│ ввода (вывода) │

│ информации │

└────────────────────────┘

См. данный графический объект в формате PDF.

Рисунок 2. Классификация угроз безопасности

персональных данных, обрабатываемых в информационных

системах персональных данных

Реализация одной из УБПДн перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов ПДн:

значительным негативным последствиям для субъектов ПДн;

негативным последствиям для субъектов ПДн;

незначительным негативным последствиям для субъектов ПДн.

Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн.

Угрозы, связанные с несанкционированным доступом (НСД) (далее - угрозы НСД в ИСПДн), представляются в виде совокупности обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации, директориев, каталогов, файлов с ПДн или самих ПДн) и возможных деструктивных действий. Такое представление описывается следующей формализованной записью:

угроза НСД: = <источник угрозы>, <уязвимость программного или аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия>, <несанкционированный доступ>.

3. Классификация угроз безопасности персональных данных 4. Угрозы утечки информации по техническим каналам