Документ разработан в соответствии с ч.5 ст.19 Федерального закона № 152-ФЗ от 27.07.2006 “О персональных данных” и предусматривает угрозы безопасности ПД, защищаемых без использования средств криптографической защиты информации (СКЗИ), а также возможность целенаправленных атак с использованием аппаратных и (или) программных средств на защищаемые с использованием СКЗИ персональные данные. Проект приказа опубликован на портале regulation.gov.ru.
Среди угроз для ПД, защищаемых без использования СКЗИ, актуальными названы воздействие вредоносного кода, вредоносной программы; несанкционированный доступ к ним людьми, обладающими пользовательскими правами доступа к государственным информационным системам, автоматизированным и информационным системам, а также к администрированию программных, программно-аппаратных средств, средств защиты информации, входящих в состав этих систем, в ходе их создания, эксплуатации, технического обслуживания. При этом в последнем случае не исключено использование социального и психологического воздействия на таких специалистов.
Кроме того, риски представляют несанкционированный доступ к отчуждаемым носителям ПД, включая переносные персональные компьютеры пользователей информационных систем; а также возможность такого доступа с использованием уязвимостей.
Список угроз для безопасности защищаемых с использованием СКЗИ персональных данных более широк. Он включает, в частности, опасность создания способов, подготовки и проведения атак на различных этапах жизненного цикла средств криптографической защиты информации, в том числе нарушителями, находящимися вне контролируемых системой зон.