Приложение N 1. Типовые возможности нарушителей безопасности информации и направления компьютерных атак на информационные системы персональных данных. Указ Главы Республики Башкортостан от 18.02.2019 N УГ-40 "Об утверждении Положения об угрозах безопасности персональных данных, актуальных при их обработке в информационных системах государственных органов Республики Башкортостан и (или) подведомственных им организаций" (с изменениями и дополнениями)

Приложение N 1

к Положению об угрозах безопасности

персональных данных, актуальных

при их обработке в информационных

системах государственных органов

Республики Башкортостан

и (или) подведомственных им организаций

Типовые возможности нарушителей безопасности информации и направления компьютерных атак на информационные системы персональных данных

N п/п	Возможности нарушителей безопасности информации и направления атак (соответствующие актуальные угрозы)	Актуальность использования угроз для построения и реализации атак	Обоснование отсутствия угрозы
1	2	3	4
1	Проведение атаки при нахождении за пределами контролируемой зоны
2	Проведение атаки при нахождении в пределах контролируемой зоны
3	Проведение атаки на этапе эксплуатации СКЗИ на следующие объекты: документация на СКЗИ и компоненты СФ; помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и СФ
4	Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС; сведений о мерах по обеспечению безопасности информации контролируемой зоны объектов, в которых размещены ресурсы ИС; сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ
5	Использование штатных средств ИС, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
6	Физический доступ к СВТ, на которых реализованы СКЗИ и СФ
7	Воздействие на аппаратные компоненты СКЗИ и СФ, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
8	Создание способов компьютерных атак, их подготовка и проведение с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО
9	Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
10	Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО
11	Наличие сведений, содержащихся в конструкторской документации на аппаратные и программные компоненты СФ
12	Воздействие на любые компоненты СКЗИ и СФ

Список использованных сокращений

ИС	- информационная система
ПО	- программное обеспечение
СВТ	- средства вычислительной техники
СКЗИ	- средства криптографической защиты информации
СФ	- среда функционирования

Примечание. Заполнение ячеек таблицы зависит от частных моделей угроз и нарушителя безопасности информации для каждой информационной системы персональных данных.