МОДЕЛЬ УГРОЗ И НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ТИПОВЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ. Министерство связи и массовых коммуникаций Российской Федерации Модель угроз и нарушителя безопасности персональных данных
 Скачать 256 Kb.
|
2Характеристика объекта информатизацииВ отрасли существуют следующие типы ИСПДн: ИСПДн абонентов услуг связи (пользователей услугами связи). ИСПДн о зарегистрированных владельцах радиоэлектронных средств. ИСПДн пользователей радиочастотным спектром – единая база сбора, учета и хранения данных о присвоенных радиочастотах. ИСПДн получателей разрешений на строительство и эксплуатацию линий связи при пересечении государственной границы Российской Федерации, на приграничной территории, во внутренних морских водах и в территориальном море Российской Федерации. В рамках ИСПДн первого типа: ведется обработка персональных данных абонентов (пользователей услугами связи); в некоторых случаях требуется заключение письменной формы договора; в некоторых случаях оператор связи сам устанавливает перечень обрабатываемой информации (включая персональные данные), в этом случае он не проверяет корректность предоставляемых данных; оператор связи проверяет корректность предоставляемых абонентом данных для возможности дальнейшего информационного взаимодействия с ним; ведется обработка персональных данных физических лиц – аффилированных лиц отрасли связи для предоставления сведений в реестр операторов, занимающих существенное положение в сети связи общего пользования, который ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Операторами связи, вне зависимости от вида услуг, обрабатывается обязательный перечень информации, имеющей характер персональных данных абонентов (пользователей услугами связи): фамилия, имя, отчество; дата и место рождения; место жительства; реквизиты документа, удостоверяющего личность. Кроме того, информация об абоненте, имеющая характер персональных данных, содержится в предоставляемых абонентом оператору связи документах: копия документа, подтверждающего право владения или пользования помещением, в котором устанавливается оборудование; письменное согласие законных представителей; доверенность. Роскомнадзором обрабатывается обязательный перечень информации, имеющей характер персональных данных физических лиц – аффилированных лиц отрасли связи: фамилия, имя, отчество; должность; идентификационный номер налогоплательщика. В рамках ИСПДн второго типа: ведется обработка персональных данных владельцев радиоэлектронных средств; требуется заключение письменной формы договора; оператор связи проверяет корректность предоставляемых абонентом данных для возможности информационного дальнейшего взаимодействия с ним. Обрабатывается обязательный перечень информации, имеющей характер персональных данных заявителей – заказчиков системного проекта сети связи аккредитованным лицом: фамилия, имя, отчество заявителя; место жительства; реквизиты основного документа, удостоверяющего личность; идентификационный номер налогоплательщика. Кроме того, к заявлению прилагаются следующие документы,содержащие информацию, имеющую характер персональных данных: системный проект сети связи и копия системного проекта, заверенная заявителем; копии задания на разработку системного проекта и исходные данные, заверенные подписью и печатью заказчика системного проекта или уполномоченного им лица, использовавшиеся для подготовки системного проекта; копии лицензий на оказание услуг связи, для которых предназначена проектируемая сеть связи; документы, подтверждающие полномочия заявителя действовать от имени заказчика системного проекта (если заявителем является уполномоченное заказчиком системного проекта лицо). Роскомнадзором обрабатывается обязательный перечень информации, имеющей характер персональных данных владельцев радиоэлектронных средств и высокочастотных устройств: фамилия, имя, отчество; место жительства; данные документа, удостоверяющего личность гражданина Российской Федерации, включая номер и дату выдачи основного документа, удостоверяющего личность физического лица, и наименование органа, выдавшего этот документ. К заявлению прилагаются документы, содержащие информацию, имеющую характер персональных данных: копия разрешения на использование радиочастот (радиочастотных каналов) для радиоэлектронных средств (в случае, если наличие такого разрешения предусмотрено законодательством Российской Федерации); копия документа, подтверждающего факт внесения записи об индивидуальном предпринимателе в Единый государственный реестр индивидуальных предпринимателей, – для индивидуальных предпринимателей; копия документа о присвоении позывного сигнала опознавания, если присвоение такого позывного сигнала предусмотрено Регламентом радиосвязи Международного союза электросвязи. Роскомнадзор вносит в установленном порядке сведения о зарегистрированных радиоэлектронных средствах и высокочастотных устройствах в базу данных и выдает заявителю свидетельство о регистрации или мотивированное уведомление об отказе в такой регистрации. В рамках ИСПДн третьего типа: ведется обработка персональных данных пользователей радиочастот или радиочастотных каналов; требуется заключение письменной формы договора; оператор связи проверяет корректность предоставляемых абонентом данных для возможности информационного взаимодействия с ним. Радиочастотной службой, Государственной комиссией по радиочастотам, Роскомнадзором, обрабатывается обязательный перечень информации, имеющей характер персональных данных заявителей, о присвоении радиочастоты (радиочастотного канала) для радиоэлектронных средств гражданского назначения: фамилия, имя, отчество; место жительства (адрес места жительства); данные документа, удостоверяющего личность; контактная информация о заявителе (в том числе отдельно указаны телефон и факс); индивидуальный номер налогоплательщика. Предприятиями осуществляется взаимодействие с Минобороны России, ФСО России, ФСБ России. К заявлению, подаваемому в Роскомнадзор, прилагаются документы, содержащие информацию, имеющую характер персональных данных: копия соответствующего решения государственной комиссии по радиочастотам; пояснительная записка, в которой приводится обоснование запрашиваемого количества радиочастот или радиочастотных каналов; дается информация о назначении планируемой радиосети (радиолинии); о заявляемой деятельности; особенностях применяемых радиоэлектронных средств; условия совместного использования полос радиочастот с радиоэлектронными средствами военного назначения, а также другой информации, относящейся к данному вопросу; выписка из единого государственного реестра индивидуальных предпринимателей, заверенная органом, выдавшим указанный документ, или нотариально заверенная копия указанного документа. В рамках ИСПДн четвертого типа: ведется обработка персональных данных получателей разрешений на строительство и эксплуатацию линий связи при пересечении государственной границы Российской Федерации, на приграничной территории, во внутренних морских водах и в территориальном море Российской Федерации; требуется заключение письменной формы договора; оператор связи проверяет корректность предоставляемых абонентом данных для возможности информационного взаимодействия с ним. Роскомнадзором и иными уполномоченными органами государственной власти обрабатывается обязательный перечень информации, имеющей характер персональных данных заявителей, о получении разрешения на строительство и эксплуатацию линий связи при пересечении государственной границы Российской Федерации на приграничной территории: фамилия, имя, отчество; место жительства; данные документа, удостоверяющего личность; индивидуальный номер налогоплательщика; почтовый адрес для переписки, контактные телефоны. К заявлению прилагаются документы, содержащие информацию, имеющую характер персональных данных: копии лицензий на осуществление соответствующих видов деятельности и решений о предоставлении водных объектов в пользование в случаях, когда наличие таких лицензий и решений предусмотрено законодательством Российской Федерации; документы, подтверждающие наличие разрешений, предусмотренных законодательством Российской Федерации, – при проведении работ в полосе отвода автомобильных или железных дорог, нефте- и продуктопроводов, газопроводов, линий электропередачи и других технологических объектов, а также на территории пунктов пропуска через государственную границу Российской Федерации; сведения о всех формах и степени участия граждан Российской Федерации и (или) российских юридических лиц в проведении работ – для иностранных заявителей; сведения о лицах, привлекаемых заявителем к проведению работ, в том числе о работниках, участвующих в их проведении. Исходя из основных характеристик, особенностей отраслевых ИСПДн и решаемых ими задач в качестве объекта информатизации предприятия выступают: Автономные АРМ. Локальные вычислительные сети. Распределенные вычислительные сети. В зависимости от характеристик и особенностей отдельных объектов часть вычислительных средств данных предприятий подключена к сетям связи общего пользования и (или) сетям международного информационного обмена. Ввод персональных данных осуществляется как с бумажных носителей (например, документов, удостоверяющих личность субъекта ПДн), так и с электронных носителей информации. ИСПДн предполагают как распределенную (на автоматизированных рабочих местах – АРМ), так и централизованную (на выделенных файловых серверах сети) обработку ПДн. Персональные данные субъектов ПДн выводятся из ИСПДн с целью передачи персональных данных клиентов одного предприятия другим предприятиям, внешним организациям, создающим собственные ИСПДн. Контролируемой зоной (КЗ) ИСПДн являются здания и отдельные помещения. В пределах контролируемой зоны находятся рабочие места пользователей и места хранения архивных копий данных, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн. Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена. |