Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Правительства Ивановской области от 8 апреля 2019 г. N 124-п "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, операторами которых являются Правительство Ивановской области и исполнительные органы государственной власти Ивановской области"
- Приложение. Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, операторами которых являются Правительство Ивановской области и исполнительные органы государственной власти Ивановской области
- Приложение. Предположения о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак для ИСПДн, в которых для обеспечения безопасности персональных данных принято решение применения СКЗИ
Приложение. Предположения о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак для ИСПДн, в которых для обеспечения безопасности персональных данных принято решение применения СКЗИ
Приложение
к Перечню
угроз безопасности персональных данных,
актуальных при обработке персональных
данных в информационных системах
персональных данных, операторами которых
являются Правительство Ивановской области
и исполнительные органы государственной
власти Ивановской области
Предположения о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак для ИСПДн, в которых для обеспечения безопасности персональных данных принято решение применения СКЗИ
|
N |
Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) |
Актуальность использования для построения и реализации атак |
Обоснование отсутствия |
|
1. |
Проведение атаки при нахождении в пределах контролируемой зоны |
Актуально |
|
|
2. |
Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты среды функционирования; помещения, в которых находятся компоненты ИСПДн, на которых реализованы СКЗИ и среда функционирования |
Неактуально |
Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты. Установлен порядок, обеспечивающий сохранность документации на СКЗИ, машинных носителей информации с комплектами восстановления СКЗИ, носителей ключевой, парольной и аутентифицирующей информации. Документация на СКЗИ и указанные носители хранятся в условиях, препятствующих свободному доступу к ним посторонних лиц |
|
3. |
Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн; сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн; сведений о мерах по разграничению доступа в помещения, в которых находятся компоненты ИСПДн, на которых реализованы СКЗИ и среда функционирования |
Актуально |
|
|
4. |
Использование штатных средств ИСПДн, в которой используется СКЗИ, ограниченное реализованными в ИСПДн мерами, направленными на предотвращение и пресечение несанкционированных действий |
Актуально |
|
|
5. |
Физический доступ к компонентам ИСПДн, на которых реализованы СКЗИ и среда функционирования |
Неактуально |
Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты |
|
6. |
Возможность располагать или воздействовать на аппаратные компоненты СКЗИ и среду функционирования, ограниченная мерами, реализованными в ИСПДн, в которой используется СКЗИ, направленными на предотвращение и пресечение несанкционированных действий |
Неактуально |
Базового (низкого) потенциала нарушителя недостаточно для реализации угрозы. Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты. Осуществляется разграничение, регистрация и учет доступа пользователей ИСПДн к объектам защиты с использованием организационных мер и средств ИСПДн. Правами администрирования ИСПДн обладают только привилегированные пользователи |
|
7. |
Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и среды функционирования, и в области использования для реализации атак недокументированных (не декларированных) возможностей прикладного программного обеспечения |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности. |
|
8. |
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, направленными на предотвращение и пресечение несанкционированных действий |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности |
|
9. |
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и среду функционирования, в том числе с использованием исходных текстов входящего в среды функционирования прикладного программного обеспечения, непосредственно использующего вызовы программных функций СКЗИ |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности |
|
10. |
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (не декларированных) возможностей системного программного обеспечения |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности. |
|
11. |
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования СКЗИ |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. |
|
12. |
Возможность располагать или воздействовать на любые компоненты СКЗИ и среды функционирования |
Неактуально |
Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Базового (низкого) потенциала нарушителя недостаточно для реализации угрозы |