Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Инспекции государственного жилищного надзора Волгоградской области от 26 декабря 2022 г. N 260 "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении деятельности инспекции государственного жилищного надзора Волгоградской области"
- Приложение 1. Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении деятельности инспекции государственного жилищного надзора Волгоградской области, защищаемых с использованием средств криптографической защиты информации
Приложение 1. Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении деятельности инспекции государственного жилищного надзора Волгоградской области, защищаемых с использованием средств криптографической защиты информации
Приложение 1
к приказу инспекции
государственного
жилищного надзора
Волгоградской области
от 26 декабря 2022 г. N 260
Перечень
угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении деятельности инспекции государственного жилищного надзора Волгоградской области, защищаемых с использованием средств криптографической защиты информации
|
Пункт приложения к приказу ФСБ России от 10 июля 2014 г. N 378 * |
Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) |
Актуальность использования (применения) для построения и реализации атак |
Обоснование неактуальности |
|
Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа средств криптографической защиты информации (далее - СКЗИ) |
Актуально |
|
|
|
Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ |
Актуально |
|
|
|
Проведение атаки, при нахождении вне контролируемой зоны (далее - КЗ) |
Актуально |
|
|
|
Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак: - внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ; - внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ |
Неактуально |
Работы проводят лицензиаты ФСБ России, не имеющие коммерческой выгоды в перехвате данных передаваемых по зашифрованным каналам связи |
|
|
Проведение атак на этапе эксплуатации СКЗИ на: - персональные данные; - ключевую, аутентифицирующую и парольную информацию СКЗИ; - программные компоненты СКЗИ; - аппаратные компоненты СКЗИ; - программные компоненты СФ, включая программное обеспечение BIOS; - аппаратные компоненты СФ; - данные, передаваемые по каналам связи; - иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, информационных систем и системного программного обеспечения |
Актуально |
|
|
|
Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация: - общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы); - сведения об информационных технологиях, базах данных, информационных систем, системного программного обеспечения, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, информационные системы и системное программное обеспечение, используемые в информационной системе совместно с СКЗИ; - содержание конструкторской документации на СКЗИ; - содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ; - общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ; - сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи); - все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами; - сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ; - сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ; - сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ |
Актуально |
|
|
|
Применение: - находящихся в свободном доступе или используемых за пределами КЗ информационных систем и системного программного обеспечения, включая аппаратные и программные компоненты СКЗИ и СФ; - специально разработанных информационных систем и программного обеспечения. |
Неактуально |
Информационные системы и системное программное обеспечение, включая аппаратные и программные компоненты СКЗИ и СФ не находятся в свободном доступе и (или) не используются за пределами КЗ |
|
|
Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки: - каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами; - каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ |
Неактуально |
Используемые каналы связи, защищены от несанкционированного доступа к информации организационными, техническими и (или) криптографическими мерами. Технические каналы утечки информации СКЗИ и линий связи признаны не актуальными (используется оптоволоконные линии связи, витая пара проложена в общих линиях, в которых расположены десятки других витых пар, затраты на использование средств негласного съема информации по техническим каналам утечки информации значительно превышают ценность информации) |
|
|
Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети |
Неактуально |
Перечень пользователей некоторых информационных систем, имеющих выход в информационно-телекоммуникационную сеть "Интернет", ограничен списком утверждаемым Руководством Операторов информационных систем. Доступ предоставляется по заявке с обоснованием. Не всем пользователям согласуют доступ в информационно-телекоммуникационную сеть "Интернет". Используются технические средства защиты информации от угрозы атаки из информационно-телекоммуникационной сети "Интернет" |
|
|
Использование на этапе эксплуатации находящихся за пределами КЗ информационных систем и системного программного обеспечения из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ |
Неактуально |
КЗ информационных систем и системного программного обеспечения из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ |
|
|
Проведение атаки, при нахождении в пределах контролируемой зоны |
Актуально |
|
|
|
Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: - документацию на СКЗИ и компоненты СФ; - помещения, в которых находится средства вычислительной техники (далее - СВТ), на которых реализованы СКЗИ и СФ. |
Актуально |
|
|
|
Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: - сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ. |
Актуально |
|
|
|
Использование штатных средств информационных систем, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий |
Актуально |
|
|
|
Физический доступ к СВТ, на которых реализованы СКЗИ и СФ |
Неактуально |
- Проводятся работы по подбору персонала; - доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; - помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытия дверей помещений на замок и их открытия только для санкционированного прохода; - представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации; - осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам; - осуществляется регистрация и учет действий пользователей; - на АРМ и серверах, на которых установлены СКЗИ, используются сертифицированные средства защиты информации от несанкционированного доступа и сертифицированные средства антивирусной защиты |
|
|
Возможность располагать (воздействовать на) аппаратными(-ые) компонентами(-ы) СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий |
Неактуально |
- Проводятся работы по подбору персонала; - доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом; - помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытия дверей помещений на замок и их открытия только для санкционированного прохода; - представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации; - осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам; - осуществляется регистрация и учет действий пользователей |
|
|
Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ |
Неактуально |
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Проводятся работы по подбору персонала. Доступ в КЗ и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытия дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии ответственных сотрудников |
|
|
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий |
Неактуально |
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Доступ в контролируемую зону и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытия дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии ответственных сотрудников |
|
|
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения |
Неактуально |
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Оператор не является конкурентом производителя прикладного программного обеспечения. Оператором не обрабатываются персональные данные, составляющие коммерческую тайну конкурентов производителя прикладного программного обеспечения. Используется сертифицированные антивирусное программное обеспечение и сканеры уязвимостей |
|
|
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного программного обеспечения, непосредственно использующего вызовы программных функций СКЗИ |
Неактуально |
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Оператор не является конкурентом производителя прикладного программного обеспечения. Оператором не обрабатываются персональные данные, составляющие коммерческую тайну конкурентов производителя прикладного программного обеспечения. Используется сертифицированные антивирусное программное обеспечение и сканеры уязвимостей |
|
|
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения |
Неактуально |
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Используется сертифицированные антивирусное программное обеспечение и сканеры уязвимостей. Средства защиты информации прошли процедуру контроля отсутствия недокументированных возможностей в программном обеспечении |
|
|
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ |
Неактуально |
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности |
|
|
Возможность располагать всеми аппаратными компонентами СКЗИ и СФ (воздействовать на любые компоненты СКЗИ и СФ) |
Неактуально |
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Проводятся работы по подбору персонала. Доступ в контролируемую зону и помещения, где располагается СВТ, на которых реализованы СКЗИ и СФ, обеспечивается в соответствии с контрольно-пропускным режимом. Помещения, в которых располагаются СКЗИ и СФ, оснащены входными дверьми с замками, обеспечивается постоянное закрытия дверей помещений на замок и их открытия только для санкционированного прохода. Представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены компоненты СКЗИ и СФ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии ответственных сотрудников |
* Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 (Зарегистрирован Минюстом России 18 августа 2014 г., регистрационный N 33620).