Актуальность использования возможностей нарушителя и направлений атак
Реализация угроз безопасности ПДн, обрабатываемых в ИС, определяется возможностями нарушителей (источников атак). Таким образом, актуальность использования возможностей атак определяет наличие соответствующих актуальных угроз. В зависимости от положительных ответов в таблицах 3.2.1 и 3.2.3 заполняются таблицы 3.3.1 и 3.3.2 соответственно по правилам.
Для внешних нарушителей сведения об актуальности использования атак представлено в таблице 3.3.1.
Таблица 3.3.1.
№
| Уточнённые возможности нарушителей и направления атак (соответствующие актуальные угрозы)
| Актуально (+)/ неактуально (-)
| Обоснование отсутствия
| 1.1
| Проведение атаки при нахождении в пределах КЗ.
| -
| Доступ в КЗ, где располагается СКЗИ, обеспечивается в соответствии с контрольно – пропускным режимом. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
Помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Утверждён перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ.
| 1.2
| Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты среды функционирования (СФ); помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее СВТ), на которых реализованы СКЗИ и СФ.
| -
| Проводятся работы по подбору персонала.
Доступ в КЗ, где располагается СКЗИ, обеспечивается в соответствии с контрольно – пропускным режимом.
Документация на СКЗИ хранится у ответственного за СКЗИ.
Помещения, в которых располагается документация на СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
| 1.3
| Получение в рамках предоставленных полномочий, а также в результате наблюдений
следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС; сведений о мерах по обеспечению КЗ объектов, в которых размещены ресурсы ИС; сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.
| -
| Проводятся работы по подбору персонала.
Доступ в КЗ и помещения, где располагается ресурсы ИС, обеспечивается в соответствии с контрольно – пропускным режимом.
Сведения о физических мерах защиты объектов, в которых размещены ИС, доступны ограниченному кругу сотрудников.
Сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.
| 1.4
| Использование штатных средств ИС, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на
предотвращение и пресечение несанкционированных действий.
| -
| Проводятся работы по подбору персонала.
Помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.
| 2.1
| Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.
| -
| Проводятся работы по подбору персонала.
Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
| 2.2
| Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в ИС, в которой используется
СКЗИ, и направленными на
предотвращение и пресечение несанкционированных действий.
| -
| Проводятся работы по подбору персонала.
Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
| 3.1
| Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
Высокая стоимость и сложность подготовки реализации
возможности.
Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом.
Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
| 3.2
| Проведение лабораторных исследований СКЗИ, используемых вне КЗ, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
Высокая стоимость и сложность подготовки реализации
возможности.
| 3.3
| Проведение работ по созданию способов и средств атак в научно- исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
Высокая стоимость и сложность подготовки реализации
возможности.
| 4.1
| Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
Высокая стоимость и сложность подготовки реализации
возможности.
Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом.
Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
| 4.2
| Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
| 4.3
| Возможность воздействовать на любые компоненты СКЗИ и СФ.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
|
Для внутренних нарушителей категории И2 сведения об актуальности использования атак представлено в таблице 3.3.2.
Таблица 3.3.2.
№
| Уточнённые возможности нарушителей и направления атак (соответствующие актуальные угрозы)
| Актуально (+)/ неактуально (-)
| Обоснование отсутствия
| 1.1
| Проведение атаки при нахождении в пределах КЗ.
| +
|
| 1.2
| Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты среды функционирования (СФ); помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее СВТ), на которых реализованы СКЗИ и СФ.
| -
| Проводятся работы по подбору персонала.
Доступ в КЗ, где располагается СКЗИ, обеспечивается в соответствии с контрольно – пропускным режимом.
Документация на СКЗИ хранится у ответственного за СКЗИ.
Помещения, в которых располагается документация на СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
| 1.3
| Получение в рамках предоставленных полномочий, а также в результате наблюдений
следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС; сведений о мерах по обеспечению КЗ объектов, в которых размещены ресурсы ИС; сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.
| -
| Проводятся работы по подбору персонала.
Доступ в КЗ и помещения, где располагается ресурсы ИС, обеспечивается в соответствии с контрольно – пропускным режимом.
Сведения о физических мерах защиты объектов, в которых размещены ИС, доступны ограниченному кругу сотрудников.
Сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.
| 1.4
| Использование штатных средств ИС, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на
предотвращение и пресечение несанкционированных действий.
| -
| Проводятся работы по подбору персонала.
Помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.
| 2.1
| Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.
| -
| Проводятся работы по подбору персонала.
Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом.
Помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
| 2.2
| Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в ИС, в которой используется
СКЗИ, и направленными на
предотвращение и пресечение несанкционированных действий.
| -
| Проводятся работы по подбору персонала.
Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
| 3.1
| Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
Высокая стоимость и сложность подготовки реализации
возможности.
Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом.
Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
| 3.2
| Проведение лабораторных исследований СКЗИ, используемых вне КЗ, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
Высокая стоимость и сложность подготовки реализации
возможности.
| 3.3
| Проведение работ по созданию способов и средств атак в научно- исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
Высокая стоимость и сложность подготовки реализации
возможности.
| 4.1
| Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
Высокая стоимость и сложность подготовки реализации
возможности.
Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом.
Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
| 4.2
| Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
| 4.3
| Возможность воздействовать на любые компоненты СКЗИ и СФ.
| -
| Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
|
В соответствии с Приказом ФСБ России от 10.07. 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» (зарегистрировано в Минюсте России 18.08.2014 г. № 33620) для Наим орг сокращ необходимым является использование СКЗИ класса КС2.
Популярное:
|