Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Актуальность использования возможностей нарушителя и направлений атак



Реализация угроз безопасности ПДн, обрабатываемых в ИС, определяется возможностями нарушителей (источников атак). Таким образом, актуальность использования возможностей атак определяет наличие соответствующих актуальных угроз. В зависимости от положительных ответов в таблицах 3.2.1 и 3.2.3 заполняются таблицы 3.3.1 и 3.3.2 соответственно по правилам.

Для внешних нарушителей сведения об актуальности использования атак представлено в таблице 3.3.1.

Таблица 3.3.1.

Уточнённые возможности нарушителей и направления атак (соответствующие актуальные угрозы) Актуально (+)/ неактуально (-) Обоснование отсутствия
1.1 Проведение атаки при нахождении в пределах КЗ. - Доступ в КЗ, где располагается СКЗИ, обеспечивается в соответствии с контрольно – пропускным режимом. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации. Помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Утверждён перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ.
1.2 Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты среды функционирования (СФ); помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее СВТ), на которых реализованы СКЗИ и СФ. - Проводятся работы по подбору персонала. Доступ в КЗ, где располагается СКЗИ, обеспечивается в соответствии с контрольно – пропускным режимом. Документация на СКЗИ хранится у ответственного за СКЗИ. Помещения, в которых располагается документация на СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
1.3 Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС; сведений о мерах по обеспечению КЗ объектов, в которых размещены ресурсы ИС; сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ. - Проводятся работы по подбору персонала. Доступ в КЗ и помещения, где располагается ресурсы ИС, обеспечивается в соответствии с контрольно – пропускным режимом. Сведения о физических мерах защиты объектов, в которых размещены ИС, доступны ограниченному кругу сотрудников. Сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.
1.4 Использование штатных средств ИС, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. - Проводятся работы по подбору персонала. Помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.
2.1 Физический доступ к СВТ, на которых реализованы СКЗИ и СФ. - Проводятся работы по подбору персонала. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
2.2 Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. - Проводятся работы по подбору персонала. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
3.1 Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
3.2 Проведение лабораторных исследований СКЗИ, используемых вне КЗ, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности.
3.3 Проведение работ по созданию способов и средств атак в научно- исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности.
4.1 Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
4.2 Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.  
4.3 Возможность воздействовать на любые компоненты СКЗИ и СФ. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.

 

Для внутренних нарушителей категории И2 сведения об актуальности использования атак представлено в таблице 3.3.2.

Таблица 3.3.2.

Уточнённые возможности нарушителей и направления атак (соответствующие актуальные угрозы) Актуально (+)/ неактуально (-) Обоснование отсутствия
1.1 Проведение атаки при нахождении в пределах КЗ. +  
1.2 Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты среды функционирования (СФ); помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее СВТ), на которых реализованы СКЗИ и СФ. - Проводятся работы по подбору персонала. Доступ в КЗ, где располагается СКЗИ, обеспечивается в соответствии с контрольно – пропускным режимом. Документация на СКЗИ хранится у ответственного за СКЗИ. Помещения, в которых располагается документация на СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
1.3 Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС; сведений о мерах по обеспечению КЗ объектов, в которых размещены ресурсы ИС; сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ. - Проводятся работы по подбору персонала. Доступ в КЗ и помещения, где располагается ресурсы ИС, обеспечивается в соответствии с контрольно – пропускным режимом. Сведения о физических мерах защиты объектов, в которых размещены ИС, доступны ограниченному кругу сотрудников. Сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.
1.4 Использование штатных средств ИС, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. - Проводятся работы по подбору персонала. Помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.
2.1 Физический доступ к СВТ, на которых реализованы СКЗИ и СФ. - Проводятся работы по подбору персонала. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СВТ, на которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода.
2.2 Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. - Проводятся работы по подбору персонала. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
3.1 Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
3.2 Проведение лабораторных исследований СКЗИ, используемых вне КЗ, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности.
3.3 Проведение работ по созданию способов и средств атак в научно- исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности.
4.1 Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно – пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации.
4.2 Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.  
4.3 Возможность воздействовать на любые компоненты СКЗИ и СФ. - Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.

 

В соответствии с Приказом ФСБ России от 10.07. 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» (зарегистрировано в Минюсте России 18.08.2014 г. № 33620) для Наим орг сокращ необходимым является использование СКЗИ класса КС2.


Поделиться:



Популярное:

  1. A.16.15.3. Экран принудительной изоляции для использования в депо
  2. A.16.15.3.5. Экран вспомогательного блока управления (ACU) для использования в депо
  3. A.16.15.4.1. Экран высоковольтного разъединителядля использования в депо
  4. C. межотраслевой баланс производства, распределения и использования продукции в народном хозяйстве
  5. G) определение путей эффективного вложения капитала, оценка степени рационального его использования
  6. Автоматизированная система мониторинга вычислительной среды и обнаружения сетевых атак.
  7. Актуальность использования управления проектами в России
  8. Актуальность культурологии: её социальная и гносеологическая обусловленность.
  9. АКТУАЛЬНОСТЬ ПРОБЛЕМ СОЦИАЛЬНОЙ РАБОТЫ НА СОВРЕМЕННОМ ЭТАПЕ РАЗВИТИЯ РОССИЙСКОГО ОБЩЕСТВА
  10. Актуальность темы выпускной квалификационной работы.
  11. АКТУАЛЬНОСТЬ, ЭПИДЕМИОЛОГИЯ, КЛАССИФИКАЦИЯ ОТРАВЛЕНИЙ ВСЛЕДСТВИЕ ТОКСИЧЕСКОГО ДЕЙСТВИЯ АЛКОГОЛЯ,


Последнее изменение этой страницы: 2016-06-05; Просмотров: 2017; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.016 с.)
Главная | Случайная страница | Обратная связь