Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Правительства Воронежской области от 2 ноября 2017 г. N 869 "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных правительства Воронежской области, исполнительных органов государственной власти Воронежской области и подведомственных им организаций" (с изменениями и дополнениями)
- Приложение. Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных правительства Воронежской области, исполнительных органов государственной власти Воронежской области и подведомственных им организаций
- Приложение N 2. Совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак для ИСПДн, в которых для обеспечения безопасности персональных данных принято решение применения СКЗИ
Приложение N 2. Совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак для ИСПДн, в которых для обеспечения безопасности персональных данных принято решение применения СКЗИ
Приложение N 2
к угрозам безопасности персональных данных,
актуальных при обработке персональных
данных в информационных системах
персональных данных правительства
Воронежской области, исполнительных
органов государственной власти Воронежской
области и подведомственных им организаций
Совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак для ИСПДн, в которых для обеспечения безопасности персональных данных принято решение применения СКЗИ
|
N п/п |
Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) |
Актуальность использования (применения) для построения и реализации атак |
Обоснование отсутствия |
|
1.1. |
Проведение атаки при нахождении в пределах контролируемой зоны |
Актуально |
|
|
1.2. |
Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты среды функционирования; помещения, в которых находятся компоненты ИСПДн, на которых реализованы СКЗИ и среда функционирования |
Неактуально |
Проводятся работы по подбору сотрудников,привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время, в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты. Установлен порядок обеспечивающий сохранность документаций на СКЗИ, машинных носителей информации с комплектами восстановления СКЗИ, носителей ключевой, парольной и аутентифицирующей информации. Документация на СКЗИ и указанные носители хранятся только в сейфах или закрываемых на ключ шкафах (ящиках) в условиях, препятствующих свободному доступу к ним посторонних лиц |
|
1.3. |
Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн; сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн; сведений о мерах по разграничению доступа в помещения, в которых находятся компоненты ИСПДн, на которых реализованы СКЗИ и среда функционирования |
Актуально |
|
|
1.4. |
Использование штатных средств ИСПДн, в которой используется СКЗИ, ограниченное реализованными в ИСПДн мерами, направленными на предотвращение и пресечение несанкционированных действий |
Актуально |
|
|
2.1. |
Физический доступ к компонентам ИСПДн, на которых реализованы СКЗИ и среда функционирования |
Неактуально |
Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время, в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты |
|
2.2. |
Возможность располагать или воздействовать на аппаратные компоненты СКЗИ и среду функционирования, ограниченная мерами, реализованными в ИСПДн, в которой используется СКЗИ, направленными на предотвращение и пресечение несанкционированных действий |
Неактуально |
Базового (низкого) потенциала нарушителя недостаточно для реализации угрозы. Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время, в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты. Осуществляется разграничение, регистрация и учет доступа пользователей ИСПДн к объектам защиты с использованием организационных мери средств ИСПДн. Правами управления (администрирования) ИСПДн обладают только привилегированные пользователи |
|
3.1. |
Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и среды функционирования, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Для ИСПДн актуальны угрозы безопасности персональных данных третьего типа, не связанные с наличием недокументированных (недекларированных) возможностей в используемом системном и прикладном программном обеспечении |
|
3.2. |
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, направленными на предотвращение и пресечение несанкционированных действий |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности |
|
3.3. |
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и среды функционирования, в том числе с использованием исходных текстов входящего в среды функционирования прикладного программного обеспечения, непосредственно использующего вызовы программных функций СКЗИ |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности |
|
4.1. |
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Для ИСПДн актуальны угрозы безопасности персональных данных третьего типа, не связанные с наличием недокументированных (недекларированных) возможностей в используемом системном и прикладном программном обеспечении |
|
4.2. |
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования СКЗИ |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Отсутствует в наличии конструкторская документация на аппаратные и программные компоненты среды функционирования СКЗИ |
|
4.3. |
Возможность располагать или воздействовать на любые компоненты СКЗИ и среды функционирования |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Базового (низкого) потенциала нарушителя недостаточно для реализации угрозы |