Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Федеральным архивным агентством В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и пунктом 1 Положения о Федеральном архивном агентстве, утвержденного Указом Президента Российской Федерации от 22 июня 2016 г. № 293, п р и к а з ы в а ю: определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Федеральным архивным агентством, согласно приложению к настоящему приказу. Руководитель А.Н. Артизов Приложение к приказу Федерального архивного агентства от «____» __________ 20___ г. №_______ Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Федеральным архивным агентством 1. Угрозами безопасности персональных данных, актуальными при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Федеральным архивным агентством (далее – информационные системы), являются: угрозы безопасности персональных данных, защищаемых без использования средств криптографической защиты информации (далее – СКЗИ); угрозы реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого. 2. Угрозы безопасности персональных данных, защищаемых без использования СКЗИ, включают: 1) угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации; 2) угрозы несанкционированного доступа (воздействия) к персональным данным лиц, обладающих полномочиями доступа к государственным информационным системам, автоматизированным и информационным системам (далее - информационные системы), в ходе создания, ввода в эксплуатацию, эксплуатации, технического обслуживания и (или) ремонта, модернизации, вывода из эксплуатации информационных систем и дальнейшего хранения содержащейся в их базах данных информации; 3) угрозы воздействия вредоносного кода и (или) вредоносной программы; 4) угрозы использования социального и психологического воздействия на лиц, обладающих правами доступа к информационным системам, правами доступа к администрированию программных, программно-аппаратных средств, средств защиты информации, входящих в состав информационных систем; 5) угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем; 6) угрозы несанкционированного доступа к персональным данным лицами, не обладающими правами доступа к информационным системам, правами доступа администрирования программных, программно-аппаратных средств, 2 средств защиты информации, входящих в состав информационных систем, с использованием уязвимостей: в организации защиты персональных данных; в обеспечении защиты сетевого взаимодействия и каналов передачи данных, в том числе с использованием протоколов межсетевого взаимодействия; в обеспечении защиты вычислительных сетей информационных систем, вызванных несоблюдением требований по эксплуатации средств защиты информации; 7) угрозы, связанные с возможностью использования новых информационных технологий (технологии виртуализации, беспроводные технологии, облачные технологии, технологии удаленного доступа). 3. Для реализации целенаправленных действий с