Частная модель угроз. МОДЕЛЬ УГРОЗ. Модель угроз

Скачать 45.89 Kb. Название Модель угроз Анкор Частная модель угроз Дата 21.07.2022 Размер 45.89 Kb. Формат файла Имя файла МОДЕЛЬ УГРОЗ.docx Тип Документы #634338 страница 5 из 5

1   2   3   4   5 администрации. 12. Возможность проведения атак на этапе эксплуатации СКЗИ на следующие объекты: 12.1. Документацию на СКЗИ и компоненты СФ. Контролируется доступ в помещение с ИСПДн, входные двери закрываются на замок, помещение оборудовано охранной сигнализацией. Посторон­ние лица находятся в помещении с ИСПДн только в присутствии сотрудников администрации. неактуальна 12.2. Помещения, в которых находится совокупность программ­ных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ. неактуальна 13. Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации 13.1. Сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы. Сотрудники администрации, ответственные за ор­ганизацию обработки, обработку и обеспечение безопасности ПДн, имеют высокую степень про­фессиональной квалификации, продолжительный стаж работы на текущих должностях и ознакомле­ны с требованиями действующего законодатель­ства в области обеспечения безопасности ПДн неактуальна 13.2. Сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы. неактуальна 13.3. Сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ. неактуальна 14. Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвраще­ние и пресечение несанкционированных действий. Для реализации данной меры требуется высокая квалификация нарушителя. неактуальна Атаки, нейтрализуемые СКЗИ класса КС3 15. Физический доступ к СВТ, на которых реализованы СКЗИ и СФ. Контролируется доступ в помещение с ИСПДн, входные двери закрываются на замок, помещение оборудовано охранной сигнализацией. Посторон­ние лица находятся в помещении с ИСПДн только в присутствии сотрудников администрации. неактуальна 16. Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресече­ние несанкционированных действий. Для реализации данной меры требуется высокая квалификация нарушителя. неактуальна Атаки, нейтрализуемые СКЗИ класса КВ 17. Возможность создания способов, подготовка и проведе­ние атак с привлечением специалистов в области анали­за сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможно­стей прикладного ПО. Требуется высокая степень затрат для проведения данных способов атак. В тоже время, информация, функционирующая в ИСПДн, в случае ее раскры­тия, модификации, уничтожения, не несет большо­го ущерба для субъекта ПДн и не представляет со­бой большой ценности для предполагаемых нару­шителей. неактуальна 18. Возможность проведения лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограни­ченное мерами, реализованными в информационной си­стеме, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. неактуальна 19. Возможность проведения работ по созданию способов и средств атак в научно-исследовательских центрах, спе­циализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосред­ственно использующего вызовы программных функций СКЗИ. неактуальна Атаки, нейтрализуемые СКЗИ класса КА 20. Создание способов, подготовка и проведение атак с при­влечением специалистов в области использования для реализации атак недокументированных (недеклариро- ванных) возможностей системного ПО. Требуется высокая степень затрат для проведения данных способов атак. В тоже время, информация, функционирующая в ИСПДн, в случае ее раскры­тия, модификации, уничтожения, не несет большо­го ущерба для субъекта ПДн и не представляет со­бой большой ценности для предполагаемых нару­шителей. неактуальна 21. Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и про­граммные компоненты СФ. неактуальна 22. Возможность располагать всеми аппаратными компо­нентами СКЗИ и СФ. неактуальна На основании проведенного анализа, для ИСПДн «Муниципальная информационная система поселений «Во­лость» актуальны следующие атаки безопасности персональных данных: Возможность создания способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ. Возможность создания способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ. Внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности, представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ. Внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ. Применение специально разработанных АС и ПО. Для нейтрализации имеющихся актуальных угроз, с учетом минимального класса СКЗИ для ИСПДн данного типа, применяются СКЗИ класса КС1 и выше. 1   2   3   4   5