Модель угроз персональных данных - гражданское законодательство и судебные прецеденты

В заключении от 16.07.2021 № 1000-337-21 эксперт пришел к выводу, что услуги по защите и модернизации АИС учреждения оказаны обществом не в полном объеме, не в полной мере соответствуют техническому заданию к контракту, а также требованиям норм и правил в соответствующей области. Выявленные в ходе исследования несоответствия и их характеристики представлены в таблице к вопросу № 1. В результате исследования определено, что разработанная обществом « Модель угроз безопасности информации» не в полной мере соответствует требованиям норм и правил в соответствующей области, уровню защищенности персональных данных, установленному контрактом. Для АИС учреждения в модели угроз не рассмотрены вопросы защиты от угроз безопасности информации, связанных с использованием облачных технологий учреждения, как потребителем облачных услуг. Для АИС учреждения в модели угроз не рассмотрены вопросы защиты от угроз безопасности информации, связанных с действиями внутренних нарушителей с усиленным базовым (средним) потенциалом. Принимая во внимание выводы экспертного исследования, а также отсутствие иных надлежащих доказательств выполнения качественных

информационной системе. Кроме того, в материалы дела представлены разработанные истцом во исполнение контракта частная модель угроз, частное техническое задание на создание (модернизацию) системы защиты информации, программа и методики аттестационных испытаний, заключение по результатам аттестационных испытаний с соответствующим протоколом. Указанные документы содержат отметку об их утверждении исполнителем. Со стороны заказчика штамп о согласовании не проставлен. Из содержания акта о приемке выполненных работ от 31.01.2019 следует, что истец выполнил следующие предусмотренные контрактом работы: пункт 1.1 – поставил установочный программный комплект (275 руб.), пункт 1.2 – передал право на использование модуля защиты от несанкционированного доступа и контроля устройств (118 500 руб.), пункт 1.3 – предоставил право на использование сертифицированной ФСТЭК версии программного обеспечения (89 960 руб.), пункт 1.4 – выполнил установку и настройку средств защиты информации (23 700 руб.), пункт 1.5 – разработал частные модели угроз безопасности персональных данных, а также акты классификации по уровню защищенности (27 565 руб.), пункт 1.6 –

от 25.01.2019 для Администрации установлена необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе. Общество представило разработанные им частную модель угроз, частное техническое задание на создание (модернизацию) системы защиты информации, программу и методику аттестационных испытаний, заключение по результатам аттестационных испытаний с соответствующим протоколом. Указанные документы содержат отметку об их утверждении исполнителем. Со стороны заказчика штамп о согласовании не проставлен. Из акта о приемке выполненных работ от 31.01.2019 следует, что Общество выполнило следующие работы: поставило установочный программный комплект (275 руб.), передало право на использование модуля защиты от несанкционированного доступа и контроля устройств (118 500 руб.), предоставило право на использование сертифицированной ФСТЭК версии программного обеспечения (89 960 руб.), выполнило установку и настройку средств защиты информации (23 700 руб.), разработало частные модели угроз безопасности персональных данных, а также акты классификации по уровню защищенности (27 565 руб.), разработало техническое задание на модернизацию системы защиты персональных данных (36 000 руб.),

разработаны исполнителем в результате проведенных работ. Согласно техническому заданию, все разработанные документы и построенная на их основе система защиты информации должны быть выполнены в соответствии с руководящими документами ФСТЭК России. Как следует из технического задания к контракту, в результате проведенных работ исполнителем должны быть разработаны следующие документы: 1. Аналитический отчет по проведению обследования ИСПДн заказчика; 2. Акт классификации ИСПДн заказчика; 3. Описание угроз безопасности персональных данных при их обработке в ИСПДн заказчика; 4. Модель угроз безопасности персональных данных при их обработке в ИСПДн заказчика; 5. документы, определяющие и описывающие систему защиты персональных данных, обеспечивающую нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; 6. Техническое задание на построение системы информационной безопасности в ИСПДн заказчика; 7. Комплект организационно-распорядительных документов по защите информации и комплект эксплуатационных документов в составе; 8. Комплект документов на аттестацию и (или) сертификацию ИСПДн заказчика по технической защите конфиденциальной информации.

Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) "О персональных данных", пунктов 2.2. и 2.3. Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСБ РФ 21.02.2008 N 149/6/6-622, для обеспечения безопасности персональных данных при их обработке в информационной системе оператором не разработаны модель угроз безопасности персональных данных при их обработке и на основе модели угроз система безопасности персональных данных, обеспечивающая нейтрализацию всех перечисленных в модели угроз, а также отсутствует журнал проверки исправности и технического обслуживания технических средств охраны, тем самым, <данные изъяты> ФИО2 совершил административное правонарушение, предусмотренное ст. 13.11 КоАП РФ, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). При рассмотрении дела об административном правонарушении <данные изъяты> ФИО2 в совершении указанного административного правонарушения

безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей ( модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России, в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085. В ходе проверки установлено, что сотрудники администрации используют информационные системы «1C», «АЦК Финанс» и «АЦК Планирование» для управления финансово-экономической деятельностью, материально-техническим обеспечением. При этом в нарушение указанных норм законов администрацией не приняты меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных указанных информационных систем. Более того, администрацией не разработаны модели угроз безопасности информации, содержащейся в указанных информационных системах. Прокуратурой Цимлянского района 20.03.2023

Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) "О персональных данных", пунктов 2.2. и 2.3. Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСБ РФ 21.02.2008 N 149/6/6-622, для обеспечения безопасности персональных данных при их обработке в информационной системе оператором не разработаны модель угроз безопасности персональных данных при их обработке и на основе модели угроз система безопасности персональных данных, обеспечивающая нейтрализацию всех перечисленных в модели угроз, а также отсутствуют журнал проверки исправности и технического обслуживания технических средств охраны, журнал по проведению инструктажа по информационной безопасности, тем самым, <Должность> В.Д.А. совершил административное правонарушение, предусмотренное ст. 13.11 КоАП РФ, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Судья районного суда рассмотрев дело, пришел к выводу

безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей ( модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085. В ходе проверки установлено, что сотрудники администрации используют информационные системы «1C», «АЦК Финанс» и «АЦК Планирование» для управления финансово-экономической деятельностью, материально-техническим обеспечением. При этом в нарушение указанных норм законов администрацией не приняты меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных указанных информационных систем. Более того, администрацией не разработаны модели угроз безопасности информации, содержащейся в указанных информационных системах. Прокуратурой Цимлянского района 20.03.2023