Постановление Правительства Нижегородской области от 27.12.2016 № 910

№ п/п

Возможности нарушителей безопасности информации и направления атак

(соответствующие актуальные угрозы)

Актуальность использования (применения) для построения и реализации атак

Обоснование отсутствия

(при наличии)

1

Проведение атаки при нахождении за пределами контролируемой зоны.

2

Проведение атаки при нахождении в пределах контролируемой зоны.

3

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

- документацию на СКЗИ и компоненты СФ;

- помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и СФ.

4

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

- сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС;

- сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИС;

- сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.

5

использование штатных средств ИС, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.

6

Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

7

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.

8

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

9

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

10

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.

11

возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

12

возможность воздействовать на любые компоненты СКЗИ и СФ.