Иденти- фикатор угрозы
|
Наимено- вание угрозы
|
Характеристика нарушителя, необходимая для реализации угрозы
|
Объект воздействия
|
Негативны е последстви я
|
Способы реализации угрозы
|
Возможные сценарии реализации угрозы
|
|
кирования дос- тупа к его дан- ным из-за не- корректной ра- боты установ- ленных на нем средств за-
щиты
|
|
|
|
|
|
УБИ.208
|
Угроза нецеле- вого использо- вания вычисли- тельных ресур- сов средства вычислитель-
ной техники
|
Внешний нарушитель, облада- ющий базовыми возможностями, Внутренний нарушитель, облада- ющий базовыми возможностями, Внутренний нарушитель, облада- ющий базовыми повышенными
возможностями
|
Средство вычисли- тельной техники
|
НП.6; НП.9; НП.10;
НП.11; НП.12
|
СР.2; СР.8
|
Сценарий реализации УБИ.208:
– Т10 (Т10.11)
|
УБИ.209
|
Угроза несан- кционирован- ного доступа к защищаемой памяти ядра процессора
|
Внешний нарушитель, облада- ющий базовыми возможностями, Внутренний нарушитель, облада- ющий базовыми возможностями, Внутренний нарушитель, облада- ющий базовыми повышенными
возможностями
|
Средство вычисли- тельной техники
|
НП.6; НП.9; НП.10;
НП.11; НП.12
|
СР.1
|
Сценарий реализации УБИ.209:
– Т10 (Т10.1; Т10.5)
|
УБИ.211
|
Угроза исполь- зования непро- веренных поль- зовательских данных при
формировании
|
Внутренний нарушитель, облада- ющий базовыми возможностями, Внутренний нарушитель, облада- ющий базовыми повышенными возможностями
|
Системное програм- мное обеспечение
|
НП.9;
НП.10; НП.11
|
СР.1; СР.9
|
Сценарий реализации УБИ.211:
– Т10 (Т10.2)
|
Иденти- фикатор угрозы
|
Наимено- вание угрозы
|
Характеристика нарушителя, необходимая для реализации угрозы
|
Объект воздействия
|
Негативны е последстви я
|
Способы реализации угрозы
|
Возможные сценарии реализации угрозы
|
|
конфигураци- онного файла, используемого программным обеспечением администри- рования ин- формационных
систем
|
|
|
|
|
|
УБИ.212
|
Угроза перех- вата управле- ния информа- ционной систе- мой
|
Внутренний нарушитель, облада- ющий базовыми повышенными возможностями
|
Системное програм- мное обеспечение, Средство вычисли- тельной техники, Ин- формационная (авто-
матизированная) сис- тема
|
НП.1; НП.6;
НП.7; НП.9; НП.10;
НП.11; НП.12
|
СР.1
|
Сценарий реализации УБИ.212:
– Т2 (Т2.4; Т2.5);
– Т8 (Т8.1);
– Т10 (Т10.1)
|
УБИ.214
|
Угроза несво- евременного выявления и реагирования компонентами информацион- ной (автомати- зированной) системы (в том числе средства-
ми защиты ин- формации) на
|
Внутренний нарушитель, облада- ющий базовыми повышенными возможностями
|
Информационная (ав- томатизированная) система
|
НП.1; НП.7; НП.9;
НП.10; НП.11
|
СР.1; СР.8
|
Сценарий реализации УБИ.214:
– Т7 (Т7.4)
|
Иденти- фикатор угрозы
|
Наимено- вание угрозы
|
Характеристика нарушителя, необходимая для реализации угрозы
|
Объект воздействия
|
Негативны е последстви я
|
Способы реализации угрозы
|
Возможные сценарии реализации угрозы
|
|
события бе- зопасности ин-
формации
|
|
|
|
|
|
УБИ.217
|
Угроза исполь- зования ском- прометирован- ного доверен- ного источника обновлений программного
обеспечения
|
Внутренний нарушитель, облада- ющий базовыми повышенными возможностями
|
Сетевое программное обеспечение, Сис- темное программное обеспечение, Мик- ропрограммное обес- печение, Прикладное программное обеспе-
чение
|
НП.1; НП.5;
НП.6; НП.9; НП.10;
НП.11; НП.12
|
СР.1; СР.2
|
Сценарий реализации УБИ.217:
– Т3 (Т3.8);
– Т7 (Т7.24)
|
Уточненные возможности нарушителей и направления атак
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
1.1
|
Проведение атаки при нахождении в пределах контро- лируемой зоны
|
Да
|
Обслуживающий персонал и лица, обеспечивающие функционирование ИСПДн «Бухгалтерский и кадровый учет», не имеют возможности находиться в помещениях, где расположена ИСПДн «Бухгалтерский и кадровый учет», в отсутствие пользователей ИСПДн «Бухгалтер- ский и кадровый учет»;
Работа пользователей ИСПДн «Бухгалтерский и кадро- вый учет» регламентирована;
Ответственный за обеспечение безопасности ПДн, ад- министраторы ИСПДн «Бухгалтерский и кадровый учет» назначаются из числа особо доверенных лиц;
Ремонт, обслуживание и сопровождение программных, технических и программно-технических средств ИСПДн
«Бухгалтерский и кадровый учет», в том числе СЗИ, вы- полняется доверенными лицами, с выполнением мер по обеспечению безопасности ПДн;
В помещениях, в которых происходит обработка ПДн, невозможно нахождение посторонних лиц;
Проводится обучение пользователей ИСПДн «Бух- галтерский и кадровый учет» мерам по обеспечению бе- зопасности ПДн и предупреждение об ответственности за их несоблюдение;
Не используются сертифицированные средства защиты информации от НСД;
|
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
|
|
|
Используются сертифицированные средства антивирус- ной защиты, базы вирусных сигнатур регулярно обновля- ются;
Ответственный пользователь криптосредств назначает- ся не из числа особо доверенных лиц
|
1.2
|
Проведение атак на этапе эксплуатации СКЗИ на следу- ющие объекты: – документацию на СКЗИ и компоненты СФ; – помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и СФ
|
Да
|
Ответственный пользователь криптосредств назначает- ся не из числа особо доверенных лиц;
Документация на СКЗИ не хранится у ответственного пользователя криптосредств в металлическом сейфе (шка- фу);
Помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, не оснащены входными дверьми с замками;
Не обеспечивается постоянное закрытие дверей по- мещений, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, на замок и их открытие только для санкционированного прохода
|
1.3
|
Получение в рамках предоставленных полномочий, а так- же в результате наблюдений следующей информации: – сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; – све- дений о мерах по обеспечению контролируемой зоны объ- ектов, в которых размещены ресурсы информационной системы; – сведений о мерах по разграничению доступа в
помещения, в которых находятся СВТ, на которых реали- зованы СКЗИ и СФ
|
Нет
|
Работа пользователей ИСПДн «Бухгалтерский и кадро- вый учет» регламентирована;
Проводится обучение пользователей ИСПДн «Бух- галтерский и кадровый учет» мерам по обеспечению бе- зопасности ПДн и предупреждение об ответственности за их несоблюдение;
Сведения о физических мерах защиты объектов, в ко- торых размещена ИСПДн «Бухгалтерский и кадровый учет», доступны ограниченному кругу сотрудников
|
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
1.4
|
Использование штатных средств ИС, ограниченное ме- рами, реализованными в информационной системе, в ко- торой используется СКЗИ, и направленными на предот- вращение и пресечение несанкционированных действий
|
Да
|
Работа пользователей ИСПДн «Бухгалтерский и кадро- вый учет» регламентирована;
Ответственный за обеспечение безопасности ПДн, ад- министраторы ИСПДн «Бухгалтерский и кадровый учет» назначаются из числа особо доверенных лиц;
Ремонт, обслуживание и сопровождение программных, технических и программно-технических средств ИСПДн
«Бухгалтерский и кадровый учет», в том числе СЗИ, вы- полняется доверенными лицами, с выполнением мер по обеспечению безопасности ПДн;
Проводится обучение пользователей ИСПДн «Бух- галтерский и кадровый учет» мерам по обеспечению бе- зопасности ПДн и предупреждение об ответственности за их несоблюдение;
Не используются сертифицированные средства защиты информации от НСД;
Используются сертифицированные средства антивирус- ной защиты, базы вирусных сигнатур регулярно обновля- ются;
Пользователи ИСПДн «Бухгалтерский и кадровый учет» имеют возможности запуска стороннего или установки, изменения настроек имеющегося программного обеспе- чения без контроля со стороны ответственного за обеспе-
чение безопасности ПДн;
|
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
|
|
|
– Программные, технические, программно-технические средства, в том числе и СЗИ, настроены доверенными ли- цами и соответствуют требованиям по обеспечению бе-
зопасности персональных данных
|
2.1
|
Физический доступ к СВТ, на которых реализованы СКЗИ и СФ
|
Да
|
Обслуживающий персонал и лица, обеспечивающие функционирование ИСПДн «Бухгалтерский и кадровый учет», не имеют возможности находиться в помещениях, где расположена ИСПДн «Бухгалтерский и кадровый учет», в отсутствие пользователей ИСПДн «Бухгалтер- ский и кадровый учет»;
В помещениях, в которых происходит обработка ПДн, невозможно нахождение посторонних лиц;
Помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, не оснащены входными дверьми с замками;
Не обеспечивается постоянное закрытие дверей по- мещений, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, на замок и их открытие только для санкционированного прохода
|
2.2
|
Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в ин- формационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несан- кционированных действий
|
Да
|
В помещениях, в которых происходит обработка ПДн, невозможно нахождение посторонних лиц;
Помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, не оснащены входными дверьми с замками;
Не обеспечивается постоянное закрытие дверей по- мещений, в которых располагаются документация на
|
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
|
|
|
СКЗИ, СКЗИ и компоненты СФК, на замок и их открытие только для санкционированного прохода;
– Корпуса системных блоков не защищены от вскрытия (не опечатаны/не опломбированы)
|
3.1
|
Создание способов, подготовка и проведение атак с прив- лечением специалистов в области анализа сигналов, соп- ровождающих функционирование СКЗИ и СФ, и в об- ласти использования для реализации атак недокументи- рованных (недекларированных) возможностей прик- ладного ПО
|
Нет
|
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности
|
3.2
|
Проведение лабораторных исследований СКЗИ, исполь- зуемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
|
Нет
|
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности
|
3.3
|
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующих- ся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вы- зовы программных функций СКЗИ
|
Нет
|
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности
|
4.1
|
Создание способов, подготовка и проведение атак с прив- лечением специалистов в области использования для ре- ализации атак недокументированных (недекларирован-
ных) возможностей системного ПО
|
Нет
|
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности.
|
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
|
|
|
Высокая стоимость и сложность подготовки реализации возможности
|
4.2
|
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и програм- мные компоненты СФ
|
Нет
|
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности
|
4.3
|
Возможность воздействовать на любые компоненты СКЗИ и СФ
|
Нет
|
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности
|
Утверждена приказом АУ
«Нефтеюганский политехнический колледж» от 18.11.2022 № 01-01-06/567
|
Скачать 1.31 Mb.