|
|
Модель угроз. Утверждена приказом ау
Иденти- фикатор угрозы
|
Наимено- вание угрозы
|
Характеристика нарушителя, необходимая для реализации угрозы
|
Объект воздействия
|
Негативны е последстви я
|
Способы реализации угрозы
|
Возможные сценарии реализации угрозы
|
УБИ.214
|
Угроза несво- евременного выявления и реагирования компонентами информацион- ной (автомати- зированной) системы (в том числе средства- ми защиты ин- формации) на события бе- зопасности ин-
формации
|
Внутренний нарушитель, облада- ющий базовыми повышенными возможностями
|
Информационная (ав- томатизированная) система
|
НП.1; НП.6
|
СР.1; СР.8
|
Сценарий реализации УБИ.214:
– Т7 (Т7.4)
|
УБИ.217
|
Угроза исполь- зования ском- прометирован- ного доверен- ного источника обновлений программного
обеспечения
|
Внутренний нарушитель, облада- ющий базовыми повышенными возможностями
|
Микропрограммное обеспечение, Прик- ладное программное обеспечение, Сетевое программное обеспе- чение, Системное программное обеспе-
чение
|
НП.1; НП.5; НП.8
|
СР.1; СР.2
|
Сценарий реализации УБИ.217:
– Т3 (Т3.8);
– Т7 (Т7.24)
|
Уточненные возможности нарушителей и направления атак
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали- зации атак
|
Обоснование
|
1.1
|
Проведение атаки при нахождении в пределах контро- лируемой зоны
|
Да
|
Обслуживающий персонал и лица, обеспечивающие функционирование ИС «Сайт», не имеют возможности на- ходиться в помещениях, где расположена ИС «Сайт», в от- сутствие пользователей ИС «Сайт»;
Работа пользователей ИС «Сайт» регламентирована;
Ответственный за обеспечение безопасности ПДн, ад- министраторы ИС «Сайт» назначаются из числа особо до- веренных лиц;
Ремонт, обслуживание и сопровождение программных, технических и программно-технических средств ИС
«Сайт», в том числе СЗИ, выполняется доверенными ли- цами, с выполнением мер по обеспечению безопасности ПДн;
В помещениях, в которых происходит обработка ПДн, невозможно нахождение посторонних лиц;
Проводится обучение пользователей ИС «Сайт» мерам по обеспечению безопасности ПДн и предупреждение об ответственности за их несоблюдение;
Не используются сертифицированные средства защиты информации от НСД;
Используются сертифицированные средства антивирус- ной защиты, базы вирусных сигнатур регулярно обновля- ются;
Ответственный пользователь криптосредств назначает- ся не из числа особо доверенных лиц
|
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
1.2
|
Проведение атак на этапе эксплуатации СКЗИ на следу- ющие объекты: – документацию на СКЗИ и компоненты СФ; – помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и СФ
|
Да
|
Ответственный пользователь криптосредств назначает- ся не из числа особо доверенных лиц;
Документация на СКЗИ не хранится у ответственного пользователя криптосредств в металлическом сейфе (шка- фу);
Помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, не оснащены входными дверьми с замками;
Не обеспечивается постоянное закрытие дверей по- мещений, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, на замок и их открытие только для санкционированного прохода
|
1.3
|
Получение в рамках предоставленных полномочий, а так- же в результате наблюдений следующей информации: – сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; – све- дений о мерах по обеспечению контролируемой зоны объ- ектов, в которых размещены ресурсы информационной системы; – сведений о мерах по разграничению доступа в
помещения, в которых находятся СВТ, на которых реали- зованы СКЗИ и СФ
|
Нет
|
Работа пользователей ИС «Сайт» регламентирована;
Проводится обучение пользователей ИС «Сайт» мерам по обеспечению безопасности ПДн и предупреждение об ответственности за их несоблюдение;
Сведения о физических мерах защиты объектов, в ко- торых размещена ИС «Сайт», доступны ограниченному кругу сотрудников
|
1.4
|
Использование штатных средств ИС, ограниченное ме- рами, реализованными в информационной системе, в ко- торой используется СКЗИ, и направленными на предот- вращение и пресечение несанкционированных действий
|
Да
|
Работа пользователей ИС «Сайт» регламентирована;
Ответственный за обеспечение безопасности ПДн, ад- министраторы ИС «Сайт» назначаются из числа особо до- веренных лиц;
Ремонт, обслуживание и сопровождение программных, технических и программно-технических средств ИС
|
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
|
|
|
«Сайт», в том числе СЗИ, выполняется доверенными ли- цами, с выполнением мер по обеспечению безопасности ПДн;
Проводится обучение пользователей ИС «Сайт» мерам по обеспечению безопасности ПДн и предупреждение об ответственности за их несоблюдение;
Не используются сертифицированные средства защиты информации от НСД;
Используются сертифицированные средства антивирус- ной защиты, базы вирусных сигнатур регулярно обновля- ются;
Пользователи ИС «Сайт» имеют возможности запуска стороннего или установки, изменения настроек имеюще- гося программного обеспечения без контроля со стороны ответственного за обеспечение безопасности ПДн;
Программные, технические, программно-технические средства, в том числе и СЗИ, настроены доверенными ли- цами и соответствуют требованиям по обеспечению бе- зопасности персональных данных
|
2.1
|
Физический доступ к СВТ, на которых реализованы СКЗИ и СФ
|
Да
|
Обслуживающий персонал и лица, обеспечивающие функционирование ИС «Сайт», не имеют возможности на- ходиться в помещениях, где расположена ИС «Сайт», в от- сутствие пользователей ИС «Сайт»;
В помещениях, в которых происходит обработка ПДн, невозможно нахождение посторонних лиц;
|
№
|
Уточнённые возможности нарушителей и направле- ния атак (соответствующие актуальные угрозы)
|
Актуальность ис- пользования (приме- нения) для построения и реали-
зации атак
|
Обоснование
|
|
|
|
Помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, не оснащены входными дверьми с замками;
Не обеспечивается постоянное закрытие дверей по- мещений, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, на замок и их открытие только для санкционированного прохода
|
2.2
|
Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в ин- формационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несан- кционированных действий
|
Да
|
В помещениях, в которых происходит обработка ПДн, невозможно нахождение посторонних лиц;
Помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, не оснащены входными дверьми с замками;
Не обеспечивается постоянное закрытие дверей по- мещений, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФК, на замок и их открытие только для санкционированного прохода;
Корпуса системных блоков не защищены от вскрытия (не опечатаны/не опломбированы)
|
3.1
|
Создание способов, подготовка и проведение атак с прив- лечением специалистов в области анализа сигналов, соп- ровождающих функционирование СКЗИ и СФ, и в об- ласти использования для реализации атак недокументи- рованных (недекларированных) возможностей прик- ладного ПО
|
Нет
|
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности
|
3.2
|
Проведение лабораторных исследований СКЗИ, исполь- зуемых вне контролируемой зоны, ограниченное мерами,
реализованными в информационной системе, в которой
|
Нет
|
Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые
могут представлять интерес для реализации возможности.
| |
|
|
Скачать 1.31 Mb.